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Introducere 


Evoluţia societăţii informaţionale către societatea bazată pe cunoaştere, proces care presupune 
transformarea progresivă a întregii economii într-o economie digitală, implică schimbări majore şi în 
abordarea auditului extern, cu un dublu impact: atât în ceea ce priveşte managementul auditului şi rolul 
auditorului, cât şi în ceea ce priveşte planul arhitectural, metodologic şi procedural asociat. 


Aceste schimbări, care determină o nouă tratare a auditului, pun în evidenţă necesitatea creării unui nou 
cadru de lucru pentru ciclul de viaţă al procesului de auditare, apt să răspundă la noile cerinţe calitative 
ale domeniilor şi ale obiectivelor auditării: auditarea se va focaliza preponderent pe managementul şi 
livrarea serviciilor informatice, care presupun prezenţa dominantă a fluxurilor de documente electronice, 
precum şi asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a 
procedurilor clasice de auditare vor fi înlocuite cu proceduri capabile să asigure auditarea în contextul 
digital care se extinde rapid în prezent. 


În scopul adecvării la noul context, modificările de conţinut ale ciclului de viaţă al auditului impun 
reingineria arhitecturilor de auditare şi a cadrului metodologic şi procedural clasic conducând la crearea 
unui nou model al auditului. Auditul clasic îşi va schimba abordarea şi conţinutul şi se va baza pe 
tehnologiile informaţiei şi comunicaţiilor prin adoptarea unor concepte şi metode avansate: audit online, 
audit continuu, e-audit. 


Noul model al auditului se va focaliza către soluţii integrate ale diferitelor tipuri de audit: auditul financiar, 
auditul performanţei, auditul IT / IS", auditul organizational şi auditul de conformitate, astfel de audituri 
urmând a se desfăşura în cadrul aceleiaşi misiuni, în diverse combinaţii, în funcţie de obiectivele şi 
complexitatea misiunii. 


În ceea ce priveşte maniera şi modalităţile de lucru, auditorul va trebui să fie pregătit pentru lucrul în 
colaborare, precum si pentru adoptarea unor noi stiluri de munca: auditare la distanță, orientarea pe 
auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator. 


Factorii care influenţează în mod deosebit noul model al auditului sunt o consecinţă a ansamblului de 
schimbări radicale pe care trecerea la economia digitală le va antrena, şi chiar le antrenează deja, în ceea 
ce priveşte securitatea informaţiei şi a sistemelor, protecţia datelor cu caracter personal, accesul la baze 
de date cu conţinut informaţional sensibil, expuse atacurilor externe prin reţeaua Internet. De asemenea, 
cerinţele privind asigurarea continuității sistemelor, precum şi a managementului schimbării şi al 
dezvoltării impun elaborarea unui cadru metodologic şi procedural de auditare adecvat. 


Manualul de fata oferă, într-o abordare noua, din perspectiva direcțiilor de dezvoltare incluse în Planul de 
lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o 
utilitate deosebită pentru auditorii publici externi din cadrul Curţii de Conturi a României (CCR) care 
desfăşoară misiuni / acţiuni de audit / control la instituţii publice, având în vedere extinderea problematicii 
acoperite de sistemele informatice financiar-contabile şi de gestiune ale organizaţiilor. Din această 
perspectivă, prezentarea este orientată, pe de o parte, pe descrierea celor mai noi concepte, metode, 
tehnici şi proceduri aferente contextului general al auditului sistemelor informatice, precum şi, pe de altă 
parte, pe problematica auditului sistemelor informatice financiar-contabile. 


1 Auditul IT / IS - auditul arhitecturilor şi infrastructurilor IT / auditul sistemelor, aplicaţiilor şi serviciilor informatice 
2 EUROSAI ITWG - EUROSAI IT Working Group 
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Obiectivul principal al manualului este de a furniza auditorilor publici externi informaţii consistente despre 
controalele aferente mediului informatizat şi despre probleme specifice şi cerinţe asociate, pentru a facilita 
planificarea şi efectuarea auditului, precum şi integrarea procedurilor proprii ale auditului IT în contextul 
misiunilor de audit în care auditorii publici externi sunt implicaţi. 


Intrucât manualul s-a concentrat preponderent pe aspectele strict necesare înţelegerii conceptelor, 
standardelor, metodologiilor şi procedurilor asociate auditului IT fără de care un auditor nu poate aborda 
corect acest domeniu şi care au ocupat un spaţiu relativ mare de expunere, implementarea practică a 
metodologiei de audit în medii informatizate va fi detaliată într-un ghid asociat acestui manual şi va 
descrie concret, în succesiune logică, etapele, activitățile, procesele, tehnicile şi documentele specifice 
acestui tip de audit, pentru întreg fluxul aferent misiunii de audit, astfel încât cele două documente să 
constituie un suport util pentru auditorii publici externi implicaţi în misiuni de audit IT, inclusiv pentru 
acţiunile de control / audit financiar sau de audit al performanţei. 


Manualul prezintă în detaliu controalele specifice mediului informatizat pe care auditorii trebuie să le ia în 
considerare atunci când evaluează integritatea, confidentialitatea şi disponibilitatea informaţiilor care 
provin din sistemul informatic financiar-contabil şi prezintă cadrul metodologic şi procedural specific 
domeniului auditului IT / IS aplicabil inclusiv la nivelul CCR. 


Manualul prezintă tehnicile specifice de evaluare a controalelor IT şi procedurile de audit asociate. 
Procedurile de audit prezentate presupun pentru auditor un nivel de experiență adecvat pentru a fi 
aplicate la un grad ridicat de performanţă. Evaluarea trebuie să aibă un caracter critic, să fie bazată pe 
experienţa profesională, iar activităţile să se desfăşoare cu un anumit nivel de scepticism, gândire critică 
şi creativitate. 


Prezentarea are în vedere armonizarea metodologiilor şi procedurilor de audit proprii Curţii de Conturi a 
României cu standardele de auditare şi bunele practici în domeniu (INTOSAIS, ISA4, ISACA®, COBIT®, 
IS0270007). De asemenea, îşi propune extinderea experienţei şi armonizarea rezultatelor cooperării 
internaţionale cu specificul Curţii de Conturi a României, prin participarea la activităţile desfăşurate în 
cadrul grupurilor de cercetare care funcţionează la nivel EUROSAI. 


Manualul are la bază cerințele Regulamentului privind organizarea şi desfăşurarea activităţilor specifice 
Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi. Abordarea problematicii 
este în concordanţă cu direcţiile de dezvoltare incluse în Planul de lucru pentru perioada 2011-2014 al 
Grupului de lucru EUROSAI IT-WG şi în conformitate cu abordarea care caracterizează cadrul de auditare 
INTOSAI. De asemenea, abordarea se aliniază cu obiectivele strategice ale CCR. 


În ceea ce priveşte tipul şi conţinutul acţiunilor de verificare desfăşurate de CCR (acţiuni de control, 
misiuni de audit financiar şi misiuni de audit al performanţei), în condiţiile extinderii accentuate a 
informatizării instituţiilor publice, auditul IT / IS poate şi trebuie să constituie o componentă a misiunilor de 
audit ale CCR sau se poate desfăşura de sine stătător, de regulă prin misiuni de audit al performanţei 
programelor, proiectelor sau aplicaţiilor referitoare la sistemele informatice. 


Având în vedere dinamica specifică rapidă a tehnologiilor informaţiei şi comunicaţiilor (TIC), care 
antrenează evoluţii semnificative în abordarea auditului extern, în realizarea manualului s-a pornit de la 
evaluarea stadiului actual al cunoaşterii în domeniu şi valorificarea experienţelor capitalizate la nivelul 
instituţiilor supreme de audit. Acest demers s-a concretizat în următoarele: 


3 International Organization of Supreme Audit Institutions 

4 International Standards for Audit 

5 Information Systems Audit and Control Association 

6 Control Objectives for Information and Related Technology 

7 ISO/IEC 27000: familie de standarde de securitate a informaţiei ISO 
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1. Realizarea unei documentari exhaustive privind problematica specifică a domeniului auditului IT / IS, 
focalizate pe studii şi analize comparative conforme cu metodologiile orientate pe ciclul de viaţă al 
sistemelor. Analiza tehnicilor şi metodelor de auditare specifice sistemelor informatice, prin prisma 
standardelor şi bunelor practici existente pe plan internaţional. 


2. Includerea în cadrul documentării a unor studii şi analize privind cadrul conceptual, arhitecturile de 
referinţă, metodele şi tehnicile specifice, precum si a particularitatilor care induc schimbări radicale în 
desfăşurarea misiunilor de audit în condiţiile unui mediu informatizat. 


3. Includerea în manual a aspectelor şi cerințelor principale care decurg din documentele celei de a 7-a 

Întâlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, în perioada 21-22 februarie 2011, 
la care a participat şi Curtea de Conturi a României. Concluzia principală pusă în evidenţă de lucrările 
întâlnirii se referă la noile abordări din domeniul auditului IT / IS privind revizuirea standardelor de 
audit IT din perspectiva evoluţiilor în domeniul standardelor şi liniilor directoare de audit, confirmate 
de abordările şi reglementările instituţiilor supreme de audit. In acest cadru, INTOSAI a întreprins 
acţiuni orientate pe asigurarea convergentei standardelor de audit proprii cu standardele 
internationale de referință IFAC, IAS, ISACA. 
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referinţă pentru 
auditurile desfăşurate de SAl-uri. Asociaţia profesională The IIA şi Comitetul de Standarde 
Profesionale al INTOSAI au agreat, in luna decembrie 2010, un Memorandum de Înţelegere (MOU), 
care documentează alinierea obiectivelor strategice ale organizaţiei, recunoaşte standardele globale 
ale fiecărei parti şi defineşte un proces de colaborare şi cooperare continuă între parti. Un element de 
importanță majoră al MOU citat este acordul reciproc că standardele specifice fiecărei organizaţii 
(seturile de standarde ISSAI şi, respectiv, IIA) sunt recunoscute la nivel global. 


4. Examinarea impactului pe care generalizarea utilizării serviciilor informatice îl are în plan practic; 
analiza rezultatelor şi abordărilor raportate pe plan intern şi internaţional de către instituţii supreme de 
audit (ECA, GAO - SUA, NAO - UK, CNAO - China’, The Office of Auditor General of Canada, 
Accounts Chamber of the Russian Federation, The Nederlands Court of Audit — Olanda, Tribunal de 
Cuentas - Spania, Bundesrechnungshof — Germania), precum şi de către instituţiile supreme de audit 
din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria'0, Polonia, Estonia sau de către 
instituţii cu tradiţie în auditul extern (e.g., KPMG, Gartner Group). 


5. Examinarea unor aspecte care comportă riscuri majore pentru desfăşurarea şi implementarea 
auditului într-un mediu informatizat: 


+ actualizarea cadrului legislativ, 

+ extinderea lucrului cu documente electronice, 

+ crearea cadrului de interoperabilitate a instituţiilor administraţiei publice din România şi 
integrarea în sistemul administraţiilor publice europene, 

+ pregătirea auditorilor pentru acest demers, 

+  reproiectarea managementului auditului, 

+ asigurarea calității auditului, 

+ asigurarea suportului instrumental şi metodologic pentru auditare. 


8 IIA - The Institute of Internal Auditors 
9In cadrul CNAO (Chinese National Audit Office) funcţionează Academia de Audit din Nanjing, care a organizat în anul 2004 
manifestarea ştiinţifică internaţională The Il-nd International Seminar on IT Audit, la care a participat şi CCR. 
10 In cadrul Instituţiei Supreme de Audit din Ungaria funcţionează un institut de cercetare ştiinţifică în domeniul auditului. 
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Au fost luate în considerare, de asemenea, elemente de interes primordial privind atribuţiile CCR, ca 
premise pentru orientarea studiului: în mod natural, obiectivele strategiilor, politicilor şi programelor privind 
Societatea Informațională se transpun în cerințe şi obiective de urmărit în cadrul auditării sistemelor în 
cauză: sisteme informatice sau servicii electronice publice, dezvoltate şi implementate la nivel de 
organizaţie sau în cadrul sistemului e-guvernare. 


Modelul de audit în medii informatizate trebuie să ia în considerare, de asemenea, următoarele aspecte: 

- aplicarea metodelor, tehnicilor şi instrumentelor de auditare bazate pe / asistate de calculator; 

- managementul auditului pe durata ciclului de viata al auditului; 

- proiectarea fluxurilor si a procedurilor de auditare specifice pentru întregul ciclu de viata al 
auditului; 

- proiectarea şi standardizarea documentelor de lucru: machete, chestionare, liste de verificare; 

- elaborarea instrucţiunilor metodologice şi a ghidurilor tematice de bună practică pentru misiunile 
de audit IT. 


Structura documentului 


Documentul este structurat după cum urmează: un capitol introductiv, cinci capitole de fond, un glosar de 
termeni, o listă de referințe bibliografice semnificative (care au constituit sursa principală de documentare) 
şi anexe. 


În Capitolul 1 este prezentat contextul actual de desfăşurare a auditului IT, pe plan intern şi international, 
cu referire la mediul socio-economic şi la guvernarea IT. Pentru conturarea contextului international si 
intern, se face o trecere în revistă a strategiilor şi programelor privind Societatea Informațională şi este 
prezentată o descriere de ansamblu, sintetică a problemelor specifice asociate. 


Acest capitol conţine, de asemenea, o evaluare a cadrului legislativ şi de reglementare în domeniul 
Tehnologiilor Informaţiei şi Comunicaţiilor (TIC) pe plan intern şi internaţional, precum şi o evaluare a 
stadiului actual privind cadrul legislativ şi de reglementare referitor la auditul sistemelor informatice pe 
plan intern şi internaţional. Sunt prezentate, ca abordări de referinţă, cadrul de auditare INTOSAI şi liniile 
de acţiune ale EUROSAL-ITWG. 

În raport cu constatările acestor evaluări, sunt prezentate abordarea auditului IT în cadrul CCR şi cadrul 
de implementare specific. 


Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind 
standardele de audit IT, din perspectiva evoluţiilor în domeniul standardelor şi liniilor directoare de audit, 
confirmate de abordările şi reglementările instituţiilor supreme de audit şi puse în evidenţă de 
lucrările celei de a 7-a întâlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, în 
perioada 21-22 februarie 2011. 


Tot în Capitolul 2, sunt prezentate cele mai relevante instituţii, reglementări şi standarde în domeniul 
auditului IT, sunt prezentate standardele INTOSAI care fac referire expresă la auditul în medii 
informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public 
Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanței - Anexa 5 (Auditul 
Performantei şi Tehnologia Informaţiei) şi liniile directoare ISSAI 5310 - Metodologia de revizuire a 
sistemului de securitate a Informaţiilor. În acest context, se face şi o trecere în revistă a componentelor 
cadrului de lucru COBIT 5, care integrează cadrul de lucru COBIT, cadrul de lucru Val IT şi cadrul de 
lucru Risk IT, din perspectiva schimbării de abordare recomandată la întâlnirea de la Istanbul a grupului 
de lucru EUROSAI - ITWG. Pentru completitudine, în ceea ce priveşte auditul securităţii sistemelor 
informatice în manual a fost inclusă o prezentare a standardului international ISO/CE/ 27001, care 
constituie un referential pentru evaluarea tehnicilor de securitate implementate în sistemele de 
management al securităţii informaţiei şi este, de asemenea, agreat de INTOSAI. 
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În Capitolul 3 este prezentată problematica asociată riscurilor generate de implementarea şi utilizarea 
sistemelor informatice, precum şi impactul semnificativ al acestor sisteme atât asupra afacerii, cât şi 
asupra riscului de audit. Din această perspectivă sunt detaliate următoarele subiecte: modelul de 
management al riscurilor, cadrul de lucru Risk IT, riscurile generate de existenţa mediului informatizat 
(dependenţa de IT, de resurse şi cunoştinţe IT, încrederea în IT, schimbări în domeniul sistemelor IT / IS, 
externalizarea serviciilor IT, focalizarea pe afacere, securitatea informaţiei, protecţia fizică a sistemelor 
IT, operarea sistemelor IT, dezvoltări efectuate de utilizatori finali), precum şi riscurile asociate furnizării 
serviciilor IT. 


Prezentarea procedurilor de audit IT este detaliată în Capitolul 4. Sunt abordate următoarele subiecte: 


1) problematica generală caracteristică a auditului IT (domeniul de aplicare, documente de referință 
(reglementări) aplicabile în domeniul auditului IS / IT, obiective generale şi obiective specifice ale 
auditului IT / IS, criterii de evaluare generice, determinarea naturii şi volumului procedurilor de 
audit, revizuirea controalelor IT în cadrul misiunilor de audit financiar; 

2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea şi 
revizuirea), evaluarea sistemelor informatice financiar-contabile; 

3) cadrul procedural pentru evaluarea sistemului informatic (obţinerea informaţiilor de fond privind 
sistemele IT ale entității auditate (Procedurile A1 - A7), evaluarea controalelor generale IT 
(Procedurile B1 — B8), evaluarea controalelor de aplicaţie (Procedurile CA1 — CA13); 

4) evaluarea riscurilor asociate implementării şi utilizării sistemului informatic; 

5) elaborarea raportului de audit şi valorificarea constatărilor consemnate în raport. 


În Capitolul 5 se face o prezentare generală a documentelor de lucru specifice auditului IT / IS. Acestea 
vor fi prezentate pe larg în ghidul asociat acestui manual. 
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Capitolul 1. Contextul de desfăşurare a auditului IT 
pe plan intern şi internaţional 


În acest capitol este prezentată o scurtă descriere a contextului de desfăşurare a auditului IT, ca urmare a 
extinderii tehnologiei informaţiei în toate domeniile. Prezentarea subiectului se face dintr-o dublă 
perspectivă: 


(a) Transformarea contextului socio-economic: procesele de trecere la economia şi societatea 
bazate pe cunoaştere, precum şi alte procese conexe şi / sau convergente, cu impact asupra 
domeniului auditării; 

(b) Evoluţiile raportate în contextul tehnic şi tehnologic: guvernarea IT şi asigurarea IT, cu 
impact direct şi decisiv asupra metodelor şi tehnicilor specifice de audit intern şi extern. 


1.1 Contextul socio-economic. Strategii şi politici pentru 
societatea informaţională 


Tehnologiile informaţiei şi comunicaţiilor (ICT11) constituie şi vor continua să reprezinte un factor motor 
major al modernizării în economie şi în societate. Conform unui raport al Uniunii Europene 2, la nivelul 
anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiţiilor pentru 
domeniul ICT, un volum de 60% din serviciile publice de bază sunt actualmente disponibile în manieră 
complet online, iar mai mult de jumătate dintre cetăţenii UE folosesc Internetul în mod constant. 


Cadrul strategic european, respectiv Iniţiativa 1201013, a avut un număr de trei obiective majore: 
(1) stabilirea unui spaţiu al informaţiei european, respectiv a unei pieţe unice reale pentru 
economia digitală, care să permită exploatarea deplină a potenţialului economiilor anterioare 
diverse şi distincte, cu factori de scală neuniformi caracteristice pieţei de consum europene de 
cca 500 milioane de consumatori; 
(2) intensificarea inovării şi investițiilor în cercetarea din domeniul ICT, impusă de faptul că ICT 
constituie motorul principal al economiei, şi 
(3) promovarea incluziunii sociale, a serviciilor publice şi a calităţii vieții, respectiv extinderea 
valorilor europene de incluziune socială şi calitate a vieţii către societatea informaţională. 


Potrivit evaluărilor din raportul citat, Europa se situează printre lideri în ceea ce priveşte dezvoltarea 
economiei digitale. Piaţa (segmentul tehnologic) de bandă larga europeană, dispunând de 90 milioane de 
linii, are mai mulţi abonaţi decât oricare altă regiune economică, iar jumătate dintre cetăţenii europeni 
utilizează Internetul în mod regulat. Cu toate acestea, trebuie avut în vedere că, pe de o parte, diferențele 
dintre statele membre sunt semnificative, iar, pe de altă parte, instituţiile europene au nivele de investiţii 
sub cele ale altor regiuni industrializate, fiind confruntate şi cu o competiţie accentuată din partea Chinei şi 
Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar şi şi-a dovedit 
utilitatea mai mult decât oricând, în această perioadă. 


Dezvoltarea accentuată a ICT şi exploatarea conţinutului digital în domeniile de interes public cum ar fi 
sănătatea, incluziunea, moştenirea culturală, sectorul de informaţii publice, învăţământul, administraţia 
publică sau eficiența energetică presupun şi reclamă politici mult mai proactive. Obstacolele majore 


11 Acronimul folosit în lucrare este cel uzual din literatura de specialitate internaţională (ICT - Information and Communication 
Technologies) 

12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP), http://ec.europa.eu/ict-psp 
13 Vezi http://ec.europa.eu/information_society/eeurope/i2010 
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pentru o utilizare mai bună şi pe o scară mai largă a ICT în astfel de domenii includ, între altele, lipsa 
(indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluţiilor pe ansamblul statelor 
membre, precum şi fragmentarea de piaţă a spaţiului de informaţie şi a soluţiilor bazate pe ICT. 


Din acest motiv, pe lângă strategia generală, UE a pus în operă şi o serie de programe dedicate (cum ar fi 
programul ICT PSP) care susţin depăşirea obstacolelor menţionate şi concură la realizarea unei societăţi 
informaţionale pentru toţi, si, implicit, la realizarea obiectivelor strategiei i2010. O direcţie de acţiune 
importantă în acest sens o reprezintă dezvoltarea de pieţe pentru soluţii inovative bazate pe ICT şi pentru 
conținut digital, în principal în domenii de interes public. 


Contextul european nou creat, bazat pe ICT, trebuie să constituie un mediu sigur de lucru pentru 
administraţia publică europeană şi din statele membre, precum şi pentru informarea cetăţenilor şi a 
mediului de afaceri. Din acest motiv, o cerinţă de o importanţă vitală pentru România este aceea de a 
asigura auditarea sistemelor informatice ale tuturor instituţiilor publice, care vor furniza informaţii 
pentru platforma europeană e-guvernare în concordanţă cu obiectivele, standardele de jure sau de facto 
şi cu bunele practici ale instituţiilor supreme de audit şi ale instituţiilor profesionale recunoscute”, pentru a 
asigura punerea la dispoziţie a unor informaţii de încredere, în timp real, conforme cu criteriile impuse 
informaţiei. 


1.1.1 Situaţia în cadrul Uniunii Europene 


Pentru a crea premisele favorabile trecerii la Societatea Informațională, Uniunea Europeană a elaborat 
încă din anul 1993 o serie de decizii strategice şi programe specifice. Cel mai reprezentativ document 
strategic este eEurope - O Societate Informațională pentru toţi, adoptat în anul 1999, prin care se 
propune accelerarea implementării tehnologiilor digitale în Europa şi asigurarea competenţelor necesare 
pentru utilizarea acestora pe scară largă. Această iniţiativă, continuată cu programul eEurope+, are un rol 
central în agenda reînnoirii economico-sociale pe care şi-o propune Uniunea Europeană, constituind un 
element cheie pentru procesul de tranziţie la noua economie bazată pe cunoaştere, precum şi la o 
economie bazată pe servicii publice electronice integrate într-un mediu implementat pe o infrastructură 
informaţională sigură, având ca perspectivă anul 2010. 


Politica Uniunii Europene în domeniul societăţii informaţionale are următoarele componente principale: 
= politica în domeniul telecomunicaţiilor, 
= sprijinul pentru dezvoltarea tehnologiilor informaţiei şi comunicaţiilor, 
„ contribuţia la crearea condiţiilor necesare asigurării competitivităţii industriei comunitare, 
= dezvoltarea reţelelor transeuropene (TEN) în sectoarele: transport, energie şi telecomunicaţii. 


De interes pentru obiectivele manualului de fata sunt şi alte documente şi acţiuni care au marcat evoluţiile 
în domeniu, inclusiv în ceea ce priveşte situaţia din România. 


1. România s-a aliniat la programul comunitar Interchange of Data between Administrations (IDA), ale 
cărui linii de acţiune pun accentul pe: 
- Implementarea sistemelor de tip e-guvernare; 
- Definirea de politici europene cu privire la informaţia digitală; 
- Realizarea unui portal european pentru informaţii şi servicii; 
-  Trasarea liniilor directoare de organizare şi căutare a informaţiilor publice din UE, referitoare la 
cadrul legislativ şi de reglementare; 
- Realizarea de cercetări de piaţă pentru servicii electronice destinate IMM-urilor; 
- Promovarea schimbului de experienţă cu privire la cele mai bune practici de servicii electronice 
pe plan internaţional. 


14 ISACA, COBIT, ITWGI etc. 
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2. Dezvoltat în paralel cu programul IDA, programul eTEN, finalizat la sfârşitul anului 2006, a avut ca 
obiectiv principal dezvoltarea de servicii electronice la dimensiune trans-Europeană: eGovernment, 
eHealth, elnclusion, eLearning, servicii pentru întreprinderi mici şi mijlocii, servicii pentru asigurarea 
securităţii şi încrederii în reţelele şi sistemele informatice. 


3. Programul IDABC (Interoperable Delivery of European eGovernment Services to public Administration, 
Business and Citizens), stabilit prin Decizia nr. 2004/387/CE a Parlamentului European şi a Consiliului din 
21 aprilie 2004, a fost iniţiat pentru a exploata avantajele oferite de ITC în ceea ce priveşte livrarea 
serviciilor publice transfrontaliere pentru cetăţeni şi mediul de afaceri pe teritoriul Europei, pentru a creşte 
eficienţa şi colaborarea între administratiile publice europene. Pe baza celor mai avansate tehnologii ale 
informaţiei şi comunicaţiilor, au fost dezvoltate soluţii şi servicii comune şi a fost creată o platformă pentru 
schimbul de bune practici între administraţiile europene în scopul modernizării sectorului public european. 


Interoperabilitatea în cadrul platformei pan-europene eGovernment este concepută pe baza colaborării 
administratiilor publice din cele 27 de state membre şi instituţiile UE, ceea ce implică existenţa unui cadru 
de lucru bazat pe principii şi reguli comune, precum şi agrearea unor interfeţe şi standarde deschise 
pentru interoperabilitate între sisteme, aplicaţii, procese de afaceri şi actorii care produc sau utilizează 
servicii eGovernment. Această abordare, orientată pe rețea, implică un efort mare pentru definirea 
regulilor colaborării, coordonării proceselor, formatelor şi specificaţiilor, precum şi a instanţelor care 
acţionează ca intermediari între sisteme. Activităţile din cadrul programului IDABC nu se limitează numai 
la a produce linii directoare, ele acţionează în sensul planificării şi implementării infrastructurilor care 
susțin interoperabilitatea, în condiţiile în care administraţiile europene funcţionează în mod diferit, iar 
existenţa unor proceduri administrative diferite generează obstacole reale. Soluţia degajată, respectiv 
crearea unui portal european contribuie la înlăturarea barierelor prin utilizarea unui singur punct de intrare 
a informaţiilor şi prin utilizarea serviciilor online indiferent de loc sau oră. 


4. Cadrul politic strategic al Comisiei Europene pentru Societatea Informațională până în anul 2010 a fost 
trasat prin programul i2010. in cadrul Conferinţei eGovernment "Transforming Public Services", care a 
avut loc la Manchester în luna noiembrie 2005, a fost aprobată o declaraţie care fixează repere şi 
obiective pentru serviciile publice electronice. 


Astfel, în perioada 2006-2010 statele membre şi-au concentrat eforturile pe crearea condiţiilor optime 
privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, una dintre ţinte constituind-o 
serviciile de achiziţii publice. 


5. Comisia Europeană a lansat, în luna martie 2010, Strategia Europeană până în anul 2020 pentru 
ieşirea din criză şi pregătirea economiei UE pentru provocările noii decade. Una dintre cele şapte iniţiative 
incluse în aceasta strategie, The Digital Agenda for Europe, stabileşte rolul cheie pe care îl va juca ICT în 
Europa pentru atingerea obiectivelor generale propuse pentru anul 2020. Sectorul ICT este direct 
responsabil pentru asigurarea a 5% din produsul brut european, cu o piaţă de 660 miliarde EURO anual, 
dar contribuţia sa la creşterea productivităţii (20% direct din sectorul ICT şi 30% din investiţiile ICT), prin 
marele său potenţial, este majoră. 


Ca stat membru, România trebuie să devină un participant activ la acţiunile şi programele europene. În 
aceste condiţii, Curtea de Conturi a României trebuie să devină un factor de impulsionare prin auditurile 
desfăşurate în domeniul IT pentru administraţia publică, atât prin recomandările formulate cât şi prin 
îndeplinirea rolului metodologic al auditului. 
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1.1.2 Stadiul Societăţii Informaționale în România 


Integrarea planurilor şi programelor asociate ITC din România cu planurile de acţiuni pentru Societatea 
Informațională adoptate la nivel european (i2010, eTen, IDA), precum şi cu programele desfăşurate in 
continuarea acestora, a constituit un pas important pentru accelerarea implementării structurilor de bază 
ale societăţii informaţionale în România. 


Principalele obiective care decurg din planurile de acţiuni ale UE, în scopul asigurării interconectarii cu 
administratiile europene, sunt: 
a) Accelerarea implementării structurilor de bază ale Societăţii Informaționale; 
b) Informatizarea administratiilor publice şi interconectarea cu administratiile publice din statele 
membre ale Uniunii Europene, pe o infrastructură comună; 
c) Servicii pentru clienţi şi oportunităţi pentru perfecţionarea administraţiei; 
d) Asigurarea securităţii reţelelor informaţionale şi a aplicaţiilor software. 


În acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de înţelegere între România şi 
Comisia Europeană privind participarea României la programul comunitar pentru asigurarea 
interoperabilitatii serviciilor pan-europene de e-guvernare pentru administratiile publice, mediul de afaceri 
şi cetăţeni (IDABC), semnat la Bucureşti la 20 martie 2006, şi s-a trecut la operarea, prin intermediul 
Ministerului Comunicaţiilor şi Societăţii Informaționale, a unei punți (gateway) nationale care permite 
instituţiilor din România accesul la sistemele europene conectate în reţea. 


In România, premisele de extindere a contextului digital au fost create prin înființarea Sistemului 
Electronic Naţional (SEN), ca sistem informatic de utilitate publică, în scopul asigurării accesului la 
informaţii publice şi furnizării de servicii publice către persoane fizice si juridice"5. 


Ministerul Comunicaţiilor şi Societăţii Informaționale, ca autoritate de specialitate a administraţiei publice 
centrale în domeniul comunicaţiilor şi tehnologiei informaţiei a elaborat o serie de documente cu caracter 
strategic precum: 


= Strategia Guvernului României de stimulare şi susţinere a dezvoltării sectorului de comunicaţii in 
perioada 2002-2012; 

= Economia bazată pe cunoaştere; 

= Strategia Guvernului României pentru dezvoltarea sectorului tehnologiei informaţiei; 

= Strategia de Dezvoltare Durabilă a României ORIZONT — 2025; 

= Strategia Naţională de Export. 


Promovarea şi aplicarea Strategiei de Dezvoltare Durabilă a României ORIZONT - 2025 va avea ca 
rezultat asigurarea accesului rapid şi ieftin la Internet, dezvoltarea unor sisteme inteligente de transport, 
continuarea procesului de securizare a reţelelor, combaterea fraudelor în domeniul tehnologiei informaţiei 
şi comunicaţiilor, precum şi promovarea cardurilor inteligente. Se urmăreşte ca până în anul 2025 fiecare 
cetățean să aibă acces la serviciile de comunicații. 


Documentele strategice la nivel naţional urmăresc consolidarea şi aplicarea în România a politicilor de 
coeziune socială şi economică şi a celor de dezvoltare regională, cu adaptarea corespunzătoare a 
acestora la politicile europene şi la strategia adoptată la Lisabona"®. 


În acest cadru, Programul Operaţional Sectorial Creşterea competitivităţii economice (POS CCE) lansat în 
anul 200617, răspunde, pe de o parte, primei priorităţi a Planului Naţional de Dezvoltare 2007 - 2013: 


15 Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparenţa în administrarea informaţiilor şi serviciilor publice prin 
mijloace electronice 
16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007 
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„Creşterea competitivităţii economice şi dezvoltarea economiei bazate pe cunoaştere” şi, pe de altă parte, 
celei de-a doua priorităţi a Cadrului Strategic Naţional de Referinţă, respectiv „Creşterea competitivităţii 
economice pe termen lung”, contribuind în acelaşi timp şi la implementarea tuturor celorlalte priorităţi ale 
Cadrului Strategic Naţional de Referinţă. 


Domeniile majore de intervenţie care fac obiectul programului POS CCE sunt: 


+ Susținerea utilizării tehnologiei informaţiei 
+ Dezvoltarea şi creşterea eficienţei serviciilor publice electronice 
+ Dezvoltarea e-economiei 


Corelând domeniile Societăţii Informaționale din Uniunea Europeană cu cele existente in România, au 
fost identificate următoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet şi 
Bandă largă); Telecommunications&lT Security (Telecomunicatii şi Securitate IT); eEducation 
(e-educatie); elnclusion (e-incluziune socială); eCommerce (Comerţ electronic); eHealth (e-sănătate); 
e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Forţa de muncă). 


Ca membru al UE, dezvoltarea României urmăreşte convergenta cu politicile comunitare, atât în termeni 
reali cât şi ca valori absolute. 


1.2 Guvernarea IT 


Liniile definitorii ale celei de-a doua perspective de analiză, anume elementele de natură tehnică şi 
practică de importanţă esenţială, pornesc de la premisa că investiţiile în domeniul IT, în medii aflate într-o 
schimbare extrem de rapidă, nu se mai rezumă exclusiv la implementarea tehnologiei ca atare, obiectivul 
unor astfel de investiţii fiind acela de a asigura obținerea de valoare din schimbările induse în activitatea 
propriu-zisă (afacerea) şi din schimbările de natură organizaţională facilitate de IT. În acest sens, se 
constată că există o înţelegere din ce în ce mai larg acceptată a faptului că informaţia constituie un bun 
strategic al afacerii iar IT a devenit un factor cu o contribuţie importantă la succesul acesteia. 


O definiţie bazată pe bune practici a guvernării IT, ca parte a guvernării corporației (întreprinderii) se 
poate formula astfel: guvernarea IT este responsabilitatea managementului executiv şi a comitetelor de 
direcție şi constă în actul de asumare a conducerii, precum şi în procese şi structuri organizaționale care 
asigură că funcţia IT a entității susţine şi extinde strategiile şi obiectivele acesteia'8. 


În mod concret, definiţia prezentată situează guvernarea IT ca o componentă integrală a guvernării 
întreprinderii (afacerii) şi nu ca pe o disciplină izolată. 


"7 


În ceea ce priveşte “livrabilele” in plan practic, guvernarea IT urmăreşte două categorii de rezultate: 
livrarea de valoare pentru afacere şi atenuarea (anihilarea) riscurilor IT. În acest sens, guvernarea IT se 
focalizează pe cinci zone principale: alinierea strategică, livrarea de valoare, managementul riscurilor, 
managementul resurselor, măsurarea performanței. 


Guvernarea IT funcţionează ca un proces continuu, ca o parte integrantă a guvernării întreprinderii şi se 
focalizează pe obiectivele strategice. 

Cadrul de lucru COBIT"9, pentru guvernare IT, constituie un cadru de lucru cu potential ridicat de auditare 
internă si externa, larg acceptat pe plan international, inclusiv de INTOSAI şi de organismele UE şi are 
deopotrivă valenţe de suport pentru managementul entității şi de cadru de auditare a guvernării IT. 


17 POS CCE - unul dintre cele şapte programe operaţionale sectoriale care constituie instrumente pentru realizarea prioritatilor 
trasate prin Cadrul Strategic National de Referinţă (CSNR) şi prin Planul National de Dezvoltare (PND) pentru perioada 2007 — 
2013 
18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org 
19 Vezi www .itgi.org 

Pag. 16 / 214 


1.3 Cadrul legislativ şi de reglementare în domeniul IT 


Cadrul legislativ şi de reglementare în domeniul IT la nivel international “prescrie” măsuri care nu sunt 
întotdeauna similare şi diferă în funcţie de regiunea socio-culturală, sociologică, precum şi de factorii 
tehnici şi tehnologici care stau la baza problemelor pe care le tratează. Deşi aceste reglementări joacă un 
rol important în modernizarea sistemului de conformitate IT / 1S20, ele devin dificil de generalizat în 
contextul globalizării. Globalizarea aduce noi provocări pentru informaţie, care este expusă unor cerinţe 
multiple de reglementare generate de diversitatea situaţiilor şi a surselor din care provine această 
informaţie. Unele dintre ele decurg din contextul istoric, altele din dinamica schimbării pieţei, tehnologiei 
sau legislaţiei, iar magnitudinea riscurilor nu poate fi anticipată pentru fiecare caz în parte. 


Legislaţia care reglementează domeniul ICT pe plan internaţional, prezintă o serie de trăsături comune, 
referitoare la problematica generală, cadrul legislativ incluzând o serie de acte normative privind: 
securitatea reţelelor, semnătura electronică, comerțul electronic, achiziţiile publice prin licitaţii electronice, 
încasarea prin mijloace electronice a impozitelor şi taxelor locale, avizarea instrumentelor de plată cu 
acces la distanţă (de tipul aplicaţiilor Internet-banking, home-banking sau mobile-banking), protecţia 
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. 


Aceste acte normative sau reglementări, după caz, constituie referentiale în auditul IT, în ceea ce priveşte 
conformitatea cu legislaţia, având în vedere că domeniul auditului este, în acest caz, domeniul IT. 


In ceea ce priveşte legislaţia din România, aceasta este armonizată cu legislaţia europeană, ca efect al 
calităţii de stat membru, desfăşurând acţiuni de anvergură impuse prin, şi convergente cu directivele 
Parlamentului European?! referitoare la stabilirea unui cadru comunitar privind aspectele esenţiale ale 
serviciilor societăţii informaţionale. 


Dezvoltarea portalului e-guvernare în cadrul Sistemului Electronic National (SEN), conceput ca punct de 
acces unic la serviciile şi informaţiile instituţiilor administraţiei centrale şi locale, a oferit suportul pentru 
lansarea şi extinderea livrării de servicii electronice către administraţie, mediul de afaceri şi cetăţeni şi 
asigură că toate procedurile şi formalitatile cu privire la accesul la o activitate de servicii vor putea fi 
îndeplinite cu uşurinţă, de la distanță, şi prin mijloace electronice, indiferent de statul membru de origine al 
furnizorului de servicii. 

Operaţionalizarea punctului de contact unic (PCU) electronic în cadrul portalului e-guvernare impune 
obligativitatea auditării tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor 
electronice, pentru a oferi asigurarea cu privire la performanţa acestor servicii în contextul operării pe 
platforma pan-europeană. 


Realizarea unui cadru de lucru pentru interoperabilitatea administratiilor din statele membre reprezintă un 
demers dificil, condiţionat şi generat de diversitatea tipurilor de organizare a administraţiilor publice, de 
numărul mare al părților implicate, de varietatea cadrului legislativ, de condiţiile economice diferite, de 
nivelul tehnologic diferit. 

România s-a aliniat în anul 1995 la primul program comunitar, IDA (Interchange of Data between 
Administrations) prin care s-au creat premisele dezvoltării unei infrastructuri comune care să constituie 
suportul pentru un cadru de interoperabilitate european. 


Programul comunitar eTEN, la care România de asemenea a participat, a fost lansat în scopul extinderii 
serviciilor electronice (e-services) la dimensiune trans-europeana şi a avut ca obiectiv prioritar 
promovarea serviciilor de interes public pe o platformă comună care să creeze oricărui cetăţean, agent 


20 JS — Information Systems 
21 Anexa 1 
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economic sau administraţie, oportunitatea de a profita de beneficiile societăţii informaţionale la nivel 
european. 


Programul IDABC (Interoperable Delivery of pan-European eGovernment services to public Adminis- 
trations, Businesses and Citizens)?2 reuneşte eforturile administratiilor publice din cele 27 state membre 
pentru a susţine dezvoltarea unor noi servicii electronice (emergente) care să susţină implementarea 
eficientă a politicilor UE şi dezvoltarea pieţei interne. 


Aprobarea Strategiei nationale "e-România" (HG nr. 195/2010) a creat premisele constituirii sistemului 
informaţional global al României, prin interconectarea instituţiilor statului printr-o reţea de fibră optică de 
mare viteză, preconizându-se ca într-un interval de doi ani să fie incluse în această platformă toate 
instituţiile statului. 


e-România constituie o o strategie asumată de Guvernul României, care şi-a propus realizarea a 300 de 
servicii electronice operaţionale până la sfârşitul anului 2011, precum şi interconectarea şi informatizarea 
completă a tuturor instituţiilor publice, astfel încât accesul la serviciile publice să fie direct şi nelimitat. 
Dintre cele mai semnificative componente prevăzute în hotărârea de guvern, menţionăm: e-Cetăţean, 
e-Sănătate, e-Educatie, e-Justitie, e-IMM, e-Asociere, e-Turism, e-Functionari publici, e-Mediu, e-Cultură, 
e-Transport, e-Statistică. 


Semnalăm, ca fiind de interes major pentru CCR, că în lipsa unui cadru standard de interoperabilitate şi a 
unei arhitecturi coerente, formulate într-o viziune sistemică, strategia eRomânia este supusă unui risc 
major de eşec. Misiunile de audit subsecvente ale CCR trebuie să aibă în vedere factorii de risc care 
decurg din: finantarile substanţiale, probabilitatea mare de duplicare a aplicaţiilor şi sistemelor, timpul de 
implementare a proiectelor, maniera de administrare a proiectelor şi de implementare a soluțiilor, 
stabilirea politicilor de migrare pentru proiectele eterogene existente. 


1.4 Stadiul actual privind cadrul de auditare a sistemelor 
informatice pe plan internaţional şi intern 


Abordarea auditului sistemelor informatice este analizată din trei perspective: 


a) prin prisma contextului de ţară: manualul include o analiză critică a abordării de tip "context 
de tară", cu detalieri pe coordonatele naturale ale specificului national, respectiv mediul (fizic, 
social, economic) şi infrastructurile (de piaţă, politice, legislative etc.); 


b) prin prisma abordării bazate pe serviciile publice, cu detalierea unor servicii importante pentru 
economie şi societate şi care prezintă elemente certe de progres în materie de e-guvernare 
(educaţie, sănătate, taxe şi impozite etc.), detalierea incluzând atât aspectele tehnologice, cât şi 
beneficiile înregistrate de serviciile respective; 


c) abordarea bazată pe cadre comune (cum ar fi, de exemplu, un cadru comun de 
interoperabilitate; similar se pot avea in vedere şi cadre comune pentru procese şi capabilități 
funcţionale). 


Principala constatare este prezenţa unei serii de procese emergente de schimbare a modelului 
auditului extern generată de extinderea semnificativă a tehnologiei şi comunicării informaţiei (TC!) 
care, pe de o parte devine obiect al auditului, iar pe de altă parte devine instrument obligatoriu pentru 
auditori. O a doua constatare este aceea că evoluţia pusă în evidenţă în prezentul manual reflectă 


” http://europa.eu.int/idabc 
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necesitatea unui salt natural, calitativ superior către abordările dirijate de infrastructurile specifice 
tehnologiilor informaţiei şi comunicaţiilor (ITC) şi de aplicaţiile şi sistemele aferente. 


De un real interes sunt şi notele caracteristice ale acestei evoluții: 
- focalizarea pe impactul de transformare pe care ICT îl are asupra auditului extern; 
- extinderea conceptului de audit al guvernării tehnologiei informaţiei către conceptul de audit al 
sistemelor de tip e-guvernare, dictată de generalizarea guvernării electronice. 


Eforturile de armonizare în cadrul evoluţiilor actuale se concentrează cu precădere la nivelul unor 
organizaţii internaţionale care au un rol deosebit de important în unificarea abordărilor, prin 
standardizarea soluţiilor, promovarea celor mai bune practici, politici, coduri de conduită şi norme. 


Cele mai importante instituţii internaţionale, care au rol determinant în reglementarea domeniului auditului 
în general şi al auditului IT în particular, sunt: INTOSAI (International Organization of Supreme Audit 
Institutions), Consiliul pentru Standarde Internationale de Audit şi Asigurare IAASB (International Audit 
and Assurance Standard Board)? din cadrul Federaţiei Internationale a Contabililor IFAC (International 
Federation of Accountants)?4, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO 
(Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems 
Audit and Control Association). 


Instituţiile supreme de audit (SAI) sunt afiliate la organizaţia profesională INTOSAI si, implicit, la grupurile 
regionale ale acesteia. Cadrul de reglementare al SAI se armonizează cu prevederile cadrului INTOSAI 
dar conţine şi prevederi specifice, potrivit principiului independenţei promovat de INTOSAI. 


O constatare importantă în ceea ce priveşte legislaţia care reglementează activitatea instituţiilor supreme 
de audit, rezultată în urma investigării site-urilor web publicate de aceste instituţii pe Internet, este faptul 
că aceasta nu conţine prevederi explicite privind auditul IT. 


Cu toate acestea, majoritatea SAI (cu excepţia celor din tari mai putin avansate în domeniu), desfăşoară 
misiuni de audit IT în cadrul unor structuri specializate. Această constatare a rezultat dintr-o analiză 
statistică asupra informaţiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a 
auditului IT reflectat în prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu 
cadrul INTOSAI. 


1.4.1 Cadrul de auditare INTOSAI 


Cea mai importantă constatare care se degajă din investigarea documentelor de referinţă în domeniul 
auditului IT (publicate de INTOSAI, EUROSAI sau pe site-urile web ale SAl-urilor) este aceea că, în 
prezent, la nivel international există o preocupare continuă pentru dezvoltarea unui cadru metodologic şi 
procedural coerent care să se impună ca standard de auditare a sistemelor informatice, începând cu 
aplicaţiile individualizate şi ajungând la sisteme pe scară largă, de tip e-guvernare şi servicii electronice. 
Experiențele actuale se bazează, in general, pe standarde şi linii directoare şi, în cazul unor SAl-uri cu un 
nivel mai scăzut de dezvoltare, pe utilizări ad-hoc ale unor tehnologii tradiţionale care răspund însă numai 
partial problemelor ridicate de desfăşurarea unui audit IT. 


Cu toate că la nivelul SAl-urilor auditul sistemelor informatice se face, în general, într-o manieră 
“unidimensională”, fiind focalizat numai pe fațete particulare ale sistemelor respective, la nivelul INTOSAI 
se promovează in prezent abordarea auditului IT / IS ca proces integrat, particularitatile domeniului 


23 IAASB a fost înființat pentru a dezvolta şi emite standarde şi declaraţii privind auditul, asigurarea şi serviciile conexe în 
numele Consiliului IFAC 

2 IFAC a fost înființată ca urmare a iniţiativelor formulate în 1973 şi aprobate în mod formal în cadrul Congresului international 
al contabililor, de la Munchen din 1977. 
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antrenând deopotrivă elemente specifice auditului financiar, auditului organizational, auditului tehnologiei 
informaţiei şi comunicaţiilor, auditului performanței şi auditului conformităţii. 

Aceste fațete ale procesului trebuie să coexiste într-o arhitectură coerentă, bazată pe sinergie, modelul de 
auditare fiind diferit de cel clasic, întrucât fiecare tip de audit nu se desfăşoară independent, ci se reflectă 
sub forma unor secvențe de proceduri, combinate în cadrul unor fluxuri eterogene, orientate către 
obiectivul general al auditului şi nu către obiectivul individual al fiecărui tip de audit. Cu atât mai mult, 
modelul devine mai complicat în condiţiile unor sisteme interoperabile. 


În plan practic, această abordarea constituie o abordare sistemică integrată şi propune un model nou de 
auditare bazat pe evaluarea riscurilor şi un cadru metodologic şi procedural asociat pentru audit extern. 


Subliniem că, pe plan internaţional există un interes crescut pentru inventarierea bunelor practici în 
domeniu şi asigurarea convergentei acestora înr-o manieră standardizată. 

În acest sens, la nivelul INTOSAI este adoptată ca reprezentativă arhitectura de auditare ISACA® şi 
recomandată în consecinţă. Aceasta se constituie ca un ansamblu ierarhizat de elemente de ghidare care 
include următoarele niveluri şi componente: standarde, ghiduri de aplicare, proceduri şi resursele COBIT, 
care sunt considerate ca fiind "cele mai bune practici" în materie. Ansamblul acestor componente este 
bazat pe un model general de controale şi tehnici de control destinat unui mediu informatizat. 


Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) 
face trimitere expresă la cadrul de lucru şi la documentatiile pentru audit IT / IS furnizate de ISACA, ITGI 
(COBIT) şi INTOSAI IT Audit Committee. 


Pe ansamblu, se poate aprecia că se înregistrează schimbări semnificative în conţinutul şi stilul activităţii 
de auditare a instituţiilor publice, ca rezultat al impactului şi efectelor pe care tehnologia informaţiei le 
generează atât în ceea ce priveşte restructurarea domeniului auditat (reingineria sistemelor informaţionale 
şi/sau a sistemelor informatice), cât şi în ceea ce priveşte abordarea propriu-zisă a auditului (reingineria 
arhitecturilor de auditare, a cadrului metodologic şi procedural, schimbarea stilului de auditare). 


În contextul actual, implementarea arhitecturilor de auditare bazate pe IT / IS reprezintă un proiect 
complex, care generează şi o serie de efecte secundare favorabile, importante chiar, în contextul 
extinderii utilizării IT în domeniul administraţiei publice. Evoluţia către e-guvernare va crea premisele 
evoluţiei către implementarea arhitecturilor de audit online, obiectiv important în abordarea sistemică a 
domeniului auditului. 

Implementarea arhitecturilor de auditare bazate pe IT are un impact deosebit atât asupra organizării şi 
monitorizării activităţii de audit, cât şi asupra entităţilor auditate, cele mai semnificative efecte fiind: (a) 
furnizarea informaţiei în timp real; (b) depistarea la timp a erorilor prin posibilitatea corelării rapide a 
informaţiilor, (c) obţinerea unor informaţii mai bogate şi mai relevante, prin investigaţii automatizate, 
precum şi (d) optimizarea procedurilor de audit. 


În vederea creşterii capacităţii instituţionale, un accent deosebit se pune pe evaluarea permanentă a acti- 
vitatilor specifice din cadrul SAl-urilor pe baza unei metodologii unitare. In acest sens, au fost dezvoltate 
două proiecte foarte utile: ITSA (/T SelfAssessment) şi ITASA (IT Audit SelfAssessment). 


Se remarcă în mod deosebit preocuparea pentru instruirea continuă a auditorilor în contextul noilor 
evoluţii, în cadrul unor programe internationale initiate şi coordonate de INTOSAI (INTOSAI Development 
Initiative - IDI)) şi puse în aplicare la nivelul grupurilor regionale. 


Prin perfecţionarea metodelor de comunicare cu instituţiile şi autorităţile publice, precum şi prin asigurarea 
flexibilitatii accesului la informaţii şi servicii electronice, devin oportune proiectarea şi implementarea unei 
arhitecturi de audit concepute în perspectiva integrării în sisteme e-guvernare. In acest context, la nivelul 


25 [SACA - Information Systems Audit and Control Association 
26 Vezi Planurile de lucru EUROSAI-ITWG 2008-2011 și 2011 - 2014 
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grupului regional EUROSAI-ITWG este în curs de consolidare un cadru de auditare pentru sisteme 
e-guvernare elaborat prin proiectul Auditing e-Government’, iniţiat de INTOSAI -WGITA2®, proiect 
coordonat de catre Office of the Auditor General din Norvegia si avand ca membri institutii supreme de 
audit din Anglia, SUA, Canada, India si Suedia. La acest proiect au fost luate in considerare experientele 
tuturor instituţiilor supreme de audit care au desfăşurat audituri in domeniul e-guvernare. Constatarile 
respective au fost colectate într-o bază de date pe website-ul INTOSAI şi au constituit sugestii pentru 
realizarea proiectului. CCR a participat la colectarea şi capitalizarea experienţelor valoroase obţinute la 
nivelul instituţiilor supreme de audit, pe site-ul web www.intosaiit.org fiind incluse rezultatele unor misiuni 
de audit IT desfăşurate de Serviciul auditul sistemelor informatice din cadrul Curţii de Conturi a României: 


1) Performance audit of the services of accessing and processing the online administrative forms, 
available in the National Electronic System of Romania. Infrastructures and IT Services, (2006), 


www.intosaiit.org 


2) The information system of Ministry of Public Finances for economic agents reports regarding 
their budgetary obligations, management of reimbursements and payment facilities grants. 
(2006), www. intosaiit.org 


3) The performance audit of the implementation and usage of the Computer Assisted Education 
System (CAES, 2004), www.intosaiit.org 


In viziunea INTOSAI2, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile 
generale de audit şi perspectiva temporală. 


1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de 
obiecte generice: program (colecţie de proiecte), proiect, sistem informatic sau resurse informatice. Cele 
trei nivele de controale asociate obiectelor generice sunt: 
+ nivelul strategic: eficienţa cu care este organizată, planificată, condusă şi controlată desfăşurarea 
programelor; 
e nivelul operational: derularea proiectelor 
e nivelul aplicațiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau 
nou create. 


2. Tipuri de audit. Clasificările standard recunosc următoarele tipuri generale de audit: 


+ audit financiar 
o auditarea investiţiilor şi a cheltuielilor, a contabilităţii fondurilor, a organizării controlului 
intern şi a raportării eficienţei cheltuielilor; 
e audit IT 
o auditarea guvernării IT 
+ auditul performanței 
o evaluarea sistemelor de control al calităţii, evaluarea eficienţei şi eficacităţii, a eficienţei 
procesului decizional, a calităţii serviciilor, a politicilor de personal, a aptitudinilor şi 
cunoştinţelor personalului. 


3. Perspectiva temporală. În concordanţă cu practicile internationale acceptate la nivelul instituţiilor de 
control financiar, se pot defini trei cadre de timp pentru desfăşurarea misiunilor de audit IT: 
+  pre-implementare: controlul pe perioada procesului de luare a deciziilor privind politica, privind 
bugetul sau alte zone de control financiar; 


27 www.eurosai.org 
28 WGITA - Working Group for IT Audit 
29 Prezentată în proiectul Auditing e-Government 
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e concurent: controlul aspectelor adiţionale privind execuţia bugetară care pot să apară pe 
parcursul realizării programelor şi proiectelor; 

+  post-implementare: aprobarea rapoartelor privind execuţia bugetară şi privind efectele 
(rezultatele) programelor şi proiectelor. 


Viziunea tridimensională permite definirea unui spaţiu de control în care fiecărui obiect de control îi 
corespunde un tip de audit şi o perspectivă temporală, rezultând o varietate de combinaţii care generează 
seturi de metode de audit asociate. 

Metodele de audit pentru nivelele strategic, operaţional şi de aplicaţie se pot mapa (suprapune) pe cadrul 
de lucru COBIT. 

Clasificarea tipurilor de audit în categorii separate are rolul de a contribui la o clarificare conceptuală. În 
practică, auditul programelor şi proiectelor combină în mod tipic abordări ale auditului financiar, auditului 
IT/IS şi auditului performanței. 

Această tendinţă de evoluţie, confirmată şi de experienţa altor instituţii supreme de audit, a fost 
promovată în cadrul misiunilor de audit ale Curţii de Conturi a României desfăşurate în domeniul 
sistemelor e-guvernare şi al serviciilor electronice asociate. 

Auditul tuturor aspectelor relevante ale programelor şi proiectelor nu este posibil prin aplicarea metodelor 
clasice. Sunt necesare noi metode, iar noile metode trebuie să acopere subiecte, cum ar fi: 


e calitatea sistemelor financiar-contabile ale organizaţiilor care sunt responsabile cu organizarea şi 
derularea programelor din domeniul IT/IS sau e-guvernare; 

e conformitatea proiectelor cu standarde funcţionale referitoare la managementul investitiilor®°; 

e conformitatea cu standarde pentru implementarea şi utilizarea tehnologiei informaţiei (COBIT); 

e existența sistemelor de control al calităţii certificate pentru fiecare stadiu al realizării proiectului. 


În raport cu stadiul actual, CCR trebuie să aibă în vedere impactul pe care îl va avea trecerea la 
economia bazată pe cunoaştere asupra auditului extern şi modificările calitative de substanţă în 
abordarea auditului extern pe care această tranziţie le antrenează, prin generalizarea implementării şi 
utilizării serviciilor electronice pentru întreaga administraţie publică. 


În consecință, aşa cum s-a menţionat, aceste cerințe şi linii de dezvoltare vor genera cerinţe şi obiective 
corespunzătoare şi pentru auditul sistemelor IT şi, în mod deosebit, pentru auditul sistemelor, serviciilor şi 
aplicaţiilor informatice care urmează a face obiectul misiunilor de audit ale CCR pe termen lung. 


În aceeaşi ordine de idei, se va înregistra un efect practic important şi în ceea ce priveşte auditul 
financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scară largă, 
auditorul financiar trebuie să aibă, la rândul său, cunoştinţe de tehnologia informaţiei si va desfăşura, 
implicit, până la un anumit nivel, şi auditarea de sisteme informatice. Acest lucru este confirmat şi prin 
experienţa celor mai avansate instituţii supreme de audit din lume, din care rezultă implicarea pe scară 
largă a auditorilor financiari în testarea procedurilor informatice financiar-contabile. În funcţie de nivelul de 
pregătire al auditorilor financiari, se pot utiliza experţi IT numai pentru auditarea unor aspecte strict spe- 
cializate şi care necesită cunoştinţe care depăşesc nivelul stabilit în cadrul instituţiei. Instituţia Supremă 
de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de 
referință. Curtea de Conturi a României a colaborat cu experţii NAO în cadrul Convenţiei de Twinning şi a 
organizat misiuni de audit pilot. 
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1.4.2 Liniile de acţiune ale EUROSAI — IT Working Group 


În cadrul EUROSAI - IT Working Group?’ există preocupări susţinute pentru extinderea cadrului de regle- 
mentare şi definirea abordărilor optimale în cadrul instituţiilor de audit europene. Grupul special de lucru, 
EUROSAI — IT Working Group, care funcţionează în cadrul organizaţiei EUROSAI are ca sarcină pre- 
zentarea unui punct de vedere comun asupra subiectului în discuţie. 


Prezentăm în continuare o sinteză a constatărilor şi propunerilor grupului EUROSAI — IT WG referitoare la 
auditul în medii informatizate. Ipoteza de lucru este aceea a unei perspective duale, anume că, luând în 
considerare capacitatea de "invadare" (de pătrundere în forţă şi de diseminare) a serviciilor electronice, se 
impune în mod natural ca atenţia specială acordată IT/IS şi problematicii asociate, precum şi utilizarea IT/ 
IS să devină o parte integrală a tuturor auditărilor, precum şi a funcţionării tuturor instituțiilor de auditare. 


Acceptând această ipoteză, concluzia lucrării de fata este aceea că auditarea în condiţiile prezenţei siste- 
melor informatice, şi, în egală măsură, auditarea sistemelor informatice ca atare reprezintă nici mai mult, 
nici mai puţin decât o auditare normală care ia act însă în mod special de problematica asociată 
tehnologiei informaţiei. 


După aprecierea grupului de lucru EUROSAI — IT WG, problema reală cu care se confruntă domeniul 
(comunitatea profesională), inclusiv şi în mod deosebit în România, după aprecierea noastră, este aceea 
de a induce conştientizarea şi de a dezvolta instrumentele corespunzătoare pentru ca universul tehno- 
logiilor informaţiei şi universul auditării (în sensul clasic) să devină din ce în ce mai accesibile actorilor 
implicaţi (manageri sau auditori). 


În acest sens, grupul de lucru EUROSAI - IT WG şi-a propus să se focalizeze pe următoarele linii de 
acţiune principale, pe care le reținem ca fiind relevante si pentru situaţia şi evoluţiile în planul auditării din 
România: 


a) auditarea furnizării de servicii de tip e-guvernare, e-licitatie, e-administratie şi altele; 

b) auditarea investiţiilor guvernamentale în resurse hardware, software şi umane relative la 
promovarea şi utilizarea eficientă a tehnologiilor informaţiei; 

c) dezvoltarea capabilitatii instituţiilor supreme de audit de a-şi atinge obiectivele strategice prin 
utilizarea în mod adecvat a tehnologiilor informaţiei (de exemplu, relativ la managementul 
intern: realizarea de auditări cu efecte mult mai eficiente şi dezvoltarea abilităţilor necesare 
ale personalului). 


Cei douăzeci de ani de existenţă ai EUROSAI au însemnat acumulări la nivelul fiecărei instituţii supreme 
de audit, capitalizarea experienţelor şi diseminarea celor mai reprezentative rezultate pentru a fi 
valorificate de această comunitate profesională fiind transformate în exemple de bune practici. Utilizarea 
EUROSAI ca spaţiu de discuţie pentru SAl-uri a contribuit la armonizarea şi convergenta abordarilor în 
auditul fondurilor publice, având aceeaşi ţintă, indiferent de particularitatile nationale: o bună guvernare si 
satisfacerea nevoilor sociale. 


Documente de referinţă recomandate de EUROSAI - ITWG pentru auditul IT / IS 


Documentele de referință recomandate şi furnizate de EUROSAI - ITWG pe site-ul web www.eurosai.org 
pentru desăşurarea auditului IT / IS sunt următoarele: 


e  Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005) 
e Security Baseline (Background document, IT Governance Institute) 
e The Val IT Framework 
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e IT Control Objectives for Sarbanes-Oxley (Background document, IT Governance Institute) 
e ECA IT audit guidelines 
e ECA Guidelines Data Collection 


1.4.3 Abordarea auditului sistemelor informatice în cadrul Curţii de 
Conturi a României 


A. Armonizarea obiectivelor strategice ale CCR cu direcţiile strategice promovate în 
cadrul EUROSAI 


Strategia dezvoltării instituţionale a Curţii de Conturi a României pentru perioada 2010-2014 
stabileşte misiunea Curţii de Conturi a României şi obiectivele strategice pe termen lung, luând în 
considerare resursele existente şi cele care pot fi atrase şi utilizate în viitor, precum şi principalele 
modalităţi de realizare a obiectivelor în contextul evoluţiei preconizate a mediului în care aceasta îşi 
desfăşoară activitatea. Astfel, manifestarea pregnantă a revoluției cunoştinţelor şi multiplele mutații 
produse în economie determină necesitatea abordării acestor realităţi într-o viziune prospectivă şi 
pragmatică*2. 


Strategia pune accent pe impactul pe care îl are focalizarea eforturilor de continuare a reformei 
economice pentru a realiza economia bazată pe cunoaştere, caracterizată ca o economie digitală, 
bazată în principal pe servicii electronice. 


În acest context, Curtea de Conturi a României a iniţiat şi desfăşoară acţiuni consecvente pentru 
modernizarea activităţii de auditare şi promovarea unei imagini a instituţiei în concordanţă cu valoarea sa 
reală, în conformitate cu direcţiile strategice promovate în cadrul EUROSAI. Printre cele mai relevante 
acţiuni, în acest sens, menţionăm: 


1. Abordarea auditului în concordanță cu evoluţiile şi tendinţele internationale de vârf, astfel încât Curtea 
de Conturi a României, ca instituţie supremă de audit, să funcţioneze în armonie cu cerinţele standardelor 
profesionale ale Organizaţiei Internationale a Instituţiilor Supreme de Audit (INTOSAI), precum şi cu Liniile 
Directoare Europene de implementare a acestora. 

Armonizarea abordărilor CCR cu tendinţele strategice stabilite la nivelul INTOSAI, precum şi stabilirea 
direcțiilor strategice în domeniul auditului în cadrul Curţii de Conturi a României s-au realizat pe baza unei 
documentari permanente asupra rezultatelor şi abordărilor raportate pe plan intern si international de 
către instituţii supreme de audit de prestigiu. 


2. Standardizarea auditului. În viziunea CCR, prin standardizarea întregului flux al auditului, cea mai mare 
parte a auditului devine riguros reglementată, fiind astfel evitate întoarceri sau repetări ale unor proceduri 
de audit sau teste de control. În plus, acest cadru de lucru asigură utilizarea resursele disponibile cu 
eficienţă crescută. 


Elaborarea şi utilizarea unui model standardizat propriu Curţii de Conturi pentru misiunile de audit, pe 
baza cerinţelor standardelor internationale de audit acceptate: INTOSAI (Cadrul de auditare INTOSAI), 
ISA (International Standards for Audit), ISACA (Information Systems Audit and Control Association) şi ale 
cadrului de lucru COBIT (Control Objectives for Information and Related Technology), va asigura stan- 
dardizarea activităţilor, procedurilor şi documentelor de lucru pe întregul flux al auditului acoperind practic 
toate etapele specifice: formularea obiectivelor, proiectarea procedurilor de audit, selecţia tehnicilor şi 
metodelor de audit, elaborarea documentelor de lucru, formularea concluziilor, constatărilor şi reco- 
mandărilor, elaborarea raportului de audit. 
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Acest model se va baza, în mod inerent, pe tehnici avansate de audit şi presupune automatizarea 
procedurilor şi utilizarea de documente electronice, evoluţii care în prezent se extind considerabil. 


3, Creşterea calităţii misiunilor de control şi audit public extern, în vederea obţinerii şi furnizării de 
informaţii reale şi obiective privind legalitatea, eficienţa şi transparenţa utilizării fondurilor publice şi a celor 
reprezentând finanţări externe, prin urmărirea respectării disciplinei financiare, potrivit principiilor bunei 
gestiuni financiare şi prin eliminarea erorilor şi neregularitatilor şi perfecţionarea gestionării banului public. 


4. Desfăşurarea activităţii de control şi audit public extern în mod autonom, prin proceduri de control 
financiar ulterior şi audit public extern prevăzute în Regulamentul privind organizarea şi desfăşurarea 
activităţilor specifice ale Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi, pe 
baza standardelor proprii de audit elaborate în conformitate cu standardele de audit internaţionale. 


5. Creşterea responsabilităţi entităţilor verificate în utilizarea şi administrarea fondurilor publice, inclusiv a 
fondurilor alocate României de Uniunea Europeană şi de către alte instituţii financiare internaţionale va fi 
determinată de asemenea ca urmare a acţiunilor de control şi audit desfăşurate de CCR. 


6. Extinderea utilizării tehnologiilor moderne de audit în scopul susţinerii eficiente a rolului Curţii de 
Conturi a României în detectarea fraudelor şi prevenirea corupţiei: audit online, audit continuu, e-audit, 
audit asistat de calculator. 


Menţionăm că utilizarea tehnologiilor moderne antrenează, de asemenea, o serie de efecte colaterale 
favorabile în ceea ce priveşte economisirea resurselor (de timp, spaţiu, cheltuieli materiale cu logistica) şi 
în prevenirea risipei de resurse aferente verificărilor, prin utilizarea unui personal cu competențe de spe- 
cialitate de nivel înalt, precum şi prin standardizarea şi automatizarea procedurilor bazate pe utilizarea 
documentelor de lucru electronice. 


7. Extinderea cooperării în cadrul EUROSAI şi exploatarea beneficiilor care decurg din această 
cooperare. 


Pentru înscrierea auditului public extern din România pe linia bunelor practici europene şi internaţionale şi 
pentru consolidarea capacităţii profesionale, considerăm că ar fi oportun un schimb permanent de 
experienţă cu instituţii supreme de audit similare. 


8. Extinderea activităţii şi amplificarea contribuţiilor CCR în cadrul grupurilor de lucru ale EUROSAI, din 
perspectiva noilor sale orientări strategice, care să reflecte afirmarea independenței, integrităţii, profesio- 
nalismului şi a unei conduceri puternice şi competente. 


Se are în vedere implicare CCR în audituri din domeniul de specialitate al Grupurilor de lucru inter- 
nationale la ale căror lucrări Curtea de Conturi a României participa, în calitate de membru. Curtea de 
Conturi a României face parte în prezent din două grupuri de lucru din cadrul EUROSAI şi participă la 
acţiunile organizate în acest context: grupul de lucru privind Tehnologia Informaţiei (EUROSAI-IT Working 
Group) şi grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit). 
9. Îmbunătăţirea imaginii instituționale a Curţii de Conturi, accentuarea percepţiei publice pozitive. 


Promovarea unei imagini moderne a Curţii de Conturi, prin participarea cu contribuţii la conferinţe, 
seminarii, sesiuni de comunicări, simpozioane interne şi internaţionale şi prezentarea unor rezultate de 
vârf pe subiecte de mare actualitate referitoare la abordarea auditului în cadrul Curţii de Conturi a 
României. Participarea activă la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei şi 
experienţe valoroase care contribuie la conştientizarea publicului, la asigurarea unei mai bune înţelegeri a 
activităţii şi evoluţiilor prezente şi viitoare ale Curţii de Conturi şi la garantarea transparenţei. 


Considerăm că formularea unei arhitecturi de auditare, precum şi elaborarea unui model de management 
al riscurilor generate de prezenţa şi extinderea serviciilor electronice, adaptate la contextul României, prin 
maparea standardului COBIT pe standarde de audit financiar şi de securitatea informaţiei (IAS, COSO, 
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Sarbanes Oxley, Basel II, ISO seria 27000) reprezintă un demers necesar, chiar imperativ, în condiţiile 
impuse de contextul internaţional. Această evoluţie implică reingineria arhitecturilor de auditare, a cadrului 
metodologic şi procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele 
internaţionale în domeniu. 


B. Desfăşurarea misiunilor de audit al sistemelor informatice în cadrul CCR 


Misiunile de audit desfăşurate de Serviciul Auditul sistemelor informatice din cadrul Departamentului XII 
au vizat, ca domeniu principal, Auditul performanței implementării şi utilizării infrastructurilor IT la insti- 
tutiile publice şi s-au derulat în baza Programului de activitate al Curţii de Conturi a României. 


Abordarea auditului IT în cadrul Curţii de Conturi a României (CCR) se desfăşoară în concordanţă cu 
cadrul de auditare INTOSAI referitor la auditul serviciilor publice guvernamentale şi cu direcţiile de 
dezvoltare incluse în Planul de lucru pentru perioada 2008-2011 al Grupului de lucru EUROSAI IT-WG. 
Subliniem că auditul IT se încadrează în obiectivele strategice ale CCR şi contribuie la realizarea 
acestora. 


Auditul sistemelor informatice se desfăşoară în concordanță cu cerințele standardelor internaţionale de 
audit recomandate de INTOSAI / EUROSAI: 


1. INTOSAI (ISSAI 3000 IMPLEMENTATION GUIDELINES FOR PERFORMANCE AUDITING, 
INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector, INTOSAI 
GOV 9130 - Guidelines for Internal Control Standards for the Public Sector — Further Information 
on Entity Risk Management), 

2. ISA- International Standards for Audit, 

3. ISACA - Information Systems Audit and Control Association Standards, 

4. COBIT - Control Objectives for Information and Related Technology (cadrul de lucru, ghidurile de 
bună practică şi liniile directoare de audit al sistemelor informatice elaborate de ITGI - ISACA, 

5. Standardele de securitate din seria ISO 27000. 


În cadrul Curţii de Conturi a României, pentru auditul sistemelor bazate pe utilizarea tehnologiei 
informaţiei au fost promovate următoarele abordări: 


= Evaluarea sistemelor informatice în scopul furnizării unei asigurări rezonabile privind 
funcţionarea acestora, necesară misiunilor de audit financiar sau de audit al 
performanţei la care este supusă entitatea (de exemplu, auditurile IT desfăşurate în cadrul 
misiunilor de audit financiar pentru ISPA, SAPARD, Fondul Naţional de Preaderare, în 
perioada 2004-2005 şi pentru ANV în anul 2009); 


= Evaluarea performanţei implementării şi utilizării programelor, proiectelor, sistemelor şi 
aplicaţiilor informatice (de exemplu, audituri ale performanței implementării şi utilizării 
infrastructurilor IT desfăşurate la MCSI, ASSI, ANV, MEC, ANAF, CNPAS, MJ, CSM, ICCJ, 
ANP în perioada 2004-2010); 


= Auditul sistemelor e-guvernare şi e-administratie şi al serviciilor electronice asociate 
acestor sisteme (de exemplu, misiunile de audit al Sistemului Electronic Naţional şi al ser- 
viciilor electronice asociate - componentele e-guvernare şi e-administratie, sistemul e-licitatie, 
serviciul electronic formulare online, serviciul electronic declaraţii fiscale online, desfăşurate 
în perioada 2005-2008 la MCSI şi la ASSI). În condiţiile prevăzute de Directiva 2006/123/CE, 
respectiv obligativitatea afilierii României la platforma pan-europeană prin punctul de contact 
unic, devine imperativă auditarea infrastructurilor IT pentru toate instituţiile publice, pentru a 
garanta calitatea informaţiilor şi a serviciilor electronice; 


Pag. 26 / 214 


= Auditul unor soluţii informatice care contribuie la prevenirea şi combaterea corupţiei şi 
a evaziunii fiscale (de exemplu, Auditul performanței cadrului de interoperabilitate între 
ANAF şi ceilalţi deținători de date referitoare la bunurile şi veniturile contribuabililor în vederea 
recuperării eficiente a debitelor restante şi prevenirii şi combaterii evaziunii fiscale, respectiv 
asigurarea condiţiilor pentru încasarea integrală şi la timp a veniturilor la bugetul de stat 
(2009); Cooperare în cadrul EUROSAI_IT Working Group la tema - “IT in auditing public 
revenue fraud” (2007-2008), “Relevance of IT in auditing public revenue fraud”); 


= În perspectivă, misiuni de audit mixte, soluţii integrate ale celor trei tipuri de audit 
(auditul financiar, auditul performanţei şi auditul IT/IS), acestea urmând a se desfăşura în 
cadrul unor misiuni comune, în funcţie de obiectivele stabilite. Apreciem că astfel de misiuni 
ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte 
complexe, desfăşurate la nivel national şi cu impact foarte mare în plan economic şi social, 
cum ar fi Strategia eRomania. 


Abordarea generală a auditului se bazează pe evaluarea riscurilor şi pe rezultate. Auditul se poate 


efectua pentru întreg ciclul de viaţă al programelor, proiectelor, sistemelor şi aplicaţiilor informatice sau 
numai pentru anumite faze specificate în obiective. 
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Capitolul 2. Standarde de audit IT 


2.1 Instituţii, standarde şi linii directoare 


Cele mai importante instituţii internaţionale, care au rol determinant în reglementarea domeniului auditului 
în general si al auditului IT în particular, sunt: INTOSAI (International Organization of Supreme Audit 
Institutions), Consiliul pentru Standarde Internationale de Audit şi Asigurare IAASB (International Audit 
and Assurance Standard Board)? din cadrul Federaţiei Internationale a Contabililor IFAC (International 
Federation of Accountants)*4, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO 
(Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems 
Audit and Control). 


Instituţiile supreme de audit (SAI) sunt afiliate la organizaţia profesională INTOSAI şi, implicit, la grupurile 
regionale ale acesteia. Cadrul de reglementare al SAI se armonizează cu prevederile cadrului INTOSAI 
dar conţine şi prevederi specifice, potrivit principiului independenţei promovat de INTOSAI. 


Profesia de auditor este reglementată de mai multe surse: legislaţia naţională, reglementările şi 
standardele stabilite la nivel naţional, standardele stabilite la nivel internaţional, organisme profesionale, 
precum ACCAS5. Prin legislaţie se stabilesc, de regulă, drepturile şi îndatoririle auditorilor, precum si 
condiţiile de eligibilitatea pentru profesia de auditor. 


Misiunea Federaţiei Internaţionale a Contabililor (IFAC), aşa cum este stabilită prin statutul său, este 
„dezvoltarea şi îmbunătăţirea la nivel mondial a profesiei contabile pe bază de standarde armonizate, 
capabilă să ofere servicii uniforme de o calitate ridicată în interesul public”. Pentru realizarea misiunii sale, 
Consiliul IFAC a înființat Comitetul pentru Etică al IFAC, pentru a elabora şi publica, sub autoritatea sa, 
standarde de o înaltă calitate şi alte materiale în sprijinul profesioniştilor contabili din întreaga lume. 
Actionand în interes public, un profesionist contabil ar trebui să respecte şi să se conformeze prevederilor 
Codului Etic. Unele jurisdicții pot avea cerinţe şi îndrumări care diferă de acest Cod. Profesioniştii contabili 
trebuie să cunoască aceste diferenţe şi să respecte cerinţele şi îndrumările mai exigente, cu excepţia 
cazului în care acestea sunt interzise în baza unei legi sau a unei reglementări. 


Măsurile de protecţie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se impart in 
două mari categorii: măsuri de protecţie create de profesie, legislaţie sau de reglementare şi măsuri de 
protecţie aferente mediului de activitate. 


Măsurile de protecţie create de profesie, legislaţie sau reglementare includ, dar nu sunt limitate la: 
e cerințe educaţionale, de pregătire profesională şi experienţă pentru accesul la profesie; 
e cerințe de dezvoltare profesională continuă; 
* reglementări de guvernare corporativă; 
* standarde profesionale; 
* proceduri disciplinare şi de monitorizare profesională sau de reglementare; 
e revizuirea externă a rapoartelor, evaluărilor, comunicatelor sau informaţiilor întocmite de un 
profesionist contabil de către o terță parte imputernicita prin lege. 


33 [AASB a fost înființat pentru a dezvolta şi emite standarde şi declaraţii privind auditul, asigurarea şi serviciile conexe în 
numele Consiliului IFAC 
34 IFAC a fost înființată ca urmare a iniţiativelor formulate în 1973 şi aprobate in mod formal în cadrul Congresului international 
al contabililor, de la Munchen din 1977. 
35 ACCA - Association of Chartered Certified Accountants 
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Misiunile de audit IT desfăşurate de CCR au urmărit asigurarea compatibilitatii cu cerinţele standardelor 
internationale de audit acceptate (INTOSAI), cu standardele internationale de audit al sistemelor infor- 
matice elaborate de ISACA (/nformation Systems Audit and Control Association), cu cadrul de lucru 
COBIT (Control Objectives for Information and related Technology), cu standarde de securitate din seria 
ISO 27000, cu cerinţele legislative şi de reglementare, cu alte standarde şi ghiduri de bune practici în 
domeniu. 
De asemenea, s-a analizat oportunitatea utilizării unor standarde şi ghiduri de bune practici, precum şi a 
unor modele de referință pentru auditarea unor domenii speciale: 
+ Standarde privind managementul riscurilor, inclusiv al riscului operational (COSO, 
Basel Il); 
+ Model de referinţă pentru cadrul de interoperabilitate (SAGA, eGIF); 
+ Actul Sarbanes Oxley (SOX) privind Sistemul de Control Intern, inclusiv pentru 
controalele IT: 
+ Linii directoare privind comerțul electronic ( ISACA — G22 B2C e-commerce); 
+ Standarde web (W3C). 


2.2 Cadrul de auditare INTOSAI 


În Planului Strategic 2005-2010, INTOSAI şi-a propus să furnizeze un cadru de nivel înalt constituit din 
standarde profesionale relevante, pentru nevoile membrilor săi. În acest sens, Comitetul pentru Standarde 
Profesionale (PSC**) a decis să integreze standardele existente şi noile orientări ale INTOSAI într-un 
cadru consistent şi coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI şi altor părţi 
interesate o imagine de ansamblu şi o înţelegere comună a standardelor şi a liniilor directoare de audit 
INTOSAI. 


Marea majoritate a liniilor directoare si a standardelor profesionale INTOSAI sunt disponibile în cinci limbi 
oficiale. 


2.2.1 Standardele ISSAI şi INTOSAI GOV 9100 


Standardele Internaţionale ale INTOSAI (ISSA) atestă premisele de bază pentru buna funcţionare şi 
conduita profesională a Institutiilor Supreme de Audit, precum şi principiile fundamentale în domeniul 
auditului entităţilor publice. 


Liniile directoare INTOSAI (INTOSAI GOV) oferă asistenţă autorităţilor publice cu privire la administrarea 
corectă a fondurilor publice. 


După cum am menţionat în secţiunea 1.4.1, pentru auditul IT / IS, /a nivelul INTOSAI este adoptată ca 
reprezentativă arhitectura de auditare ISACA*’ şi recomandată în consecință. Standardul INTOSAI GOV 
9100 - Guidelines for Internal Control Standaras for the Public Sector (pag 35) face trimitere expresă la 
cadrul de lucru şi la documentaţiile pentru audit IT/IS furnizate de ISACA, ITGI (COBIT) şi INTOSAI IT 
Audit Committee. 


Eforturile de armonizare în cadrul evoluţiilor actuale se concentrează cu precădere la nivelul unor 
organizaţii internaţionale care au un rol deosebit de important în unificarea abordărilor, prin standar- 
dizarea soluţiilor, promovarea celor mai bune practici, politici, coduri de conduită şi norme. 
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2.2.2 ISSAI 3000 - Anexa 5 — Auditul Performantei şi Tehnologia 
Informaţiei 


Auditul performanței are ca obiect auditul eficienţei, eficacitatii şi economicitatii şi are următoarele arii de audit: 


(a) auditul economicitatii activităţilor administrative, în concordanţă cu principii şi practici 
administrative solide, precum şi cu politicile managementului; 


(b) auditul eficienţei utilizării resurselor umane, financiare şi a altor resurse, inclusiv 
examinarea sistemului informatic, al cadrului de măsurare a performanţei şi de moni- 
torizare şi al procedurilor urmărite de entităţile auditate pentru remedierea deficienţelor 
identificate; 


(c) auditul eficacităţii, în legătură cu atingerea obiectivelor entității auditate, precum si 
auditul impactului activităţilor actuale comparat cu impactul previzionat. 


Obiectivele globale ale auditului performanței variază de la o ţară la alta. Ele pot fi definite în legislaţia de bază 
sau pot fi obiectul unor decizii interne în cadrul SAI: 


Obiectul concret al auditului performanței îl pot constitui: bunurile, serviciile şi alte rezultate, inclusiv 
infrastructurile IT. 


Calitatea serviciilor publice este un subiect deosebit de important, pe care membrii parlamentelor sau ai 
guvernelor aşteaptă să fie abordat în rapoartele de audit al performanţei ale SAl-urilor. 


Anexa 538 la Standardul ISSAI 3000 tratează aspectele legate de relaţia dintre auditul performanţei şi 
tehnologia informaţiei. 


Tehnologia informaţiei (IT) este utilizată din ce în ce mai mult pentru planificarea, execuţia si 
monitorizarea programelor din sectorul public. Partajarea sau integrarea informaţiilor între instituţii ridică 
probleme, cum ar fi riscurile de încălcare a securităţii şi manipulare neautorizată a informaţiilor. Auditorii ar 
trebui să fie conştienţi nu numai de utilizarea IT, aceştia ar trebui să dezvolte, de asemenea, strategii şi 
tehnici pentru furnizarea de asigurare pentru părţile interesate cu privire la valoarea pentru bani (value for 
money) de la utilizarea de IT, la securitatea sistemelor, la existenţa controalelor proceselor corespun- 
zatoare şi la exhaustivitatea şi acurateţea rezultatelor. 

Auditul performanţei, se poate concentra, de asemenea, pe probleme cum ar fi planificarea, dezvoltarea 
şi întreţinerea sistemelor individuale IT. 


În prezent, perspectiva este mai largă: sistemele IT sunt, în principal, văzute ca fiind componente 
importante în toate programele guvernamentale (incluse în sistemul e-guvernare). Evoluţia din această 
perspectivă are consecinţe semnificative pentru auditul performanţei în domeniul tehnologiei informaţiei. 


Sistemele IT pot fi un mecanism eficient şi eficace de livrare a serviciilor susţinute de programe guverna- 
mentale complexe. Aceste sisteme au potenţialul de a furniza serviciile existente la un cost redus şi de a 
oferi o gamă de servicii suplimentare, inclusiv informaţii privind performanţa programului, cu eficienţă, 
securitate şi control superioare celor disponibile în sistemele manuale. 


Anexa 5 a Standardului ISSAI 3000 scoate în evidenţă o serie de aspecte importante pentru auditul 
performanţei într-un mediu IT, dar nu este destinată să înlocuiască liniile directoare detaliate pe care 
SAl-urile ar putea avea nevoie să le dezvolte în scopul de a evalua mediul IT al entităţilor auditate. 
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Abordarea auditului performanţei într-un mediu IT ar trebui să implice următoarele procese interde- 
pendente: 


e $a obţină o înţelegere a sistemelor IT auditate şi să determine semnificaţia acestora pentru 
obiectivele auditului performanţei; 

e Să identifice extinderea auditului sistemelor IT necesară pentru atingerea obiectivelor auditului 
performanţei; 

+ Să evalueze controalele de mediu si de aplicaţie si să utilizeze un specialist IT/IS pentru 
problemele aferente acestui domeniu; 

e Să dezvolte si să utilizeze, atunci când este necesar, tehnici adecvate de audit asistat de 
calculator pentru a facilita auditul. 


Un audit al performanţei într-un mediu IT ar trebui să se orienteze pe următoarele activităţi: 


e $a evalueze dacă sistemele IT contribuie la consolidarea economicitatii, eficienţei şi eficacitatii 
obiectivelor programului şi a managementului acestuia, în special în ceea ce priveşte planificarea, 
execuţia, monitorizarea, şi feedback-ul programului; 

* Să determine dacă rezultatele îndeplinesc parametrii stabiliţi privind calitatea, serviciile şi costurile 
de livrare; 

* Să identifice orice deficienţe în sistemele informatice şi de control al mediului informatizat, precum 
şi efectul rezultat privind performanţa (eficienţa, economicitatea şi eficacitatea); 

e $a compare dezvoltarea şi practicile de întreţinere a sistemului IT ale entității auditate, cu practici 
şi standarde recunoscute în domeniu; 

e Să compare planificarea strategică IT, managementul riscului şi managementul de proiect ale 
entității auditate, cu practici şi standarde recunoscute în domeniu. 


Anexa 5 a Standardului ISSAI 3000 detaliază modul in care se vor desfăşura aceste activităţi pentru 
întreg ciclul de viaţă al auditului. 


2.2.3 Liniile directoare ISSAI 5310 


Liniile directoare INTOSAI, ISSA/ 5310 "Metodologia de revizuire a Sistemului de Securitate a 
Informaţiilor” furnizează o metodologie eficientă pentru a asista auditorul în revizuirea sau în stabilirea 
unor politici şi măsuri de securitate adecvate în cadrul unei organizaţii guvernamentale. 

Instituţiile supreme de audit (ISA) pot utiliza ghidul în două moduri: pentru scopuri interne, de a crea un 
proces de evaluare a securităţii în propria organizaţie sau în scopuri externe, pentru a ajuta la revizuirea 
procesului de evaluare a securităţii în alte organizaţii guvernamentale. 


Evolutiile semnificative din domeniul tehnologiilor informaţiei şi comunicaţiilor au generat schimbări majore 
în ceea ce priveşte cerințele sistemului de securitate a informaţiei şi o parte importantă a liniilor directoare 
este perimată, iar problematica nouă nu este acoperită. In consecinţă, versiunea Octombrie 1995 a liniilor 
directoare ISSA/ 5310 ar trebui să fie revizuită. 


Problematica actuală a securităţii informaţiei este acoperită în mod consistent atât de standardele de 
securitate din seria ISO/IEC 27000, cât şi de cadrul de lucru COBIT. Abordarea bazată pe COBIT 5 care 
este recomandată de EUROSAI-ITWG va oferi o soluţie integrată pentru tratarea aspectelor privind 
securitatea informaţiilor şi a sistemelor. 
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2.3 Standardele internaţionale de audit ISA 


Standardele Internationale de Audit ISA sunt elaborate, aprobate şi emise de IAASB. Expertii INTOSAI 
participă în prezent la dezvoltarea standardelor ISA, care, în conformitate cu abordarea duală a INTOSAI, 
sunt o parte integrată a liniilor directoare de audit financiar INTOSAI. 


Subcomisia de audit financiar din cadrul PSC elaborează Notele Practice, cu scopul de a oferi orientări 
relevante cu privire la aplicarea standardului ISA în auditul situaţiilor financiare ale entităţilor din sectorul 
public, în plus fata de ceea ce este prevăzut în prezent în ISA. Standardul ISA şi notele practice aferente 
constituie împreună o linie directoare pentru audit financiar. 


Acest lucru a fost aprobat de către INCOSAI în 2007, când Congresul a aprobat documentul cadru în 
cazul în care se prevede că: "O linie directoare INTOSAI privind auditul financiar va consta într-un 
standard ISA emis de IAASB, împreună cu o notă practică elaborată de INTOSAT subliniind, de 
asemenea, modificările, care trebuie să fie luate în considerare de auditul public. 


In ceea ce priveşte standardele internationale de audit ISA şi declaraţiile de practică IASP, aplicarea 
acestora poate fi exemplificată prin utilizarea sau evaluarea următoarelor componente: 


+ ISA 300 - Planificarea auditului; 

+ ISA 315 - Cunoaşterea entității şi mediului său şi evaluarea riscurilor de denaturare 
semnificativă; 

ISA 400 - Evaluarea riscului şi controlul intern; 

ISA 402 - Considerente de audit referitoare la entităţile care apelează la firme de 
servicii; 

Declaraţia internaţională privind practica de audit 1013 - comerțul electronic — efectul 
asupra auditului situaţiilor financiare; 

Declaraţia internaţională privind practica de audit 1001 - medii IT — calculatoare 
neincluse în rețea; 

Declaraţia internaţională privind practica de audit 1002 - medii IT — sisteme 
computerizate online; 

Declaraţia internaţională privind practica de audit 1003 — medii IT — sisteme de baze de 
date; 

Declaraţia internaţională privind practica de audit 1008 - evaluarea riscurilor şi controlul 
intern — caracteristici şi considerente privind CIS; 

Declaraţia internaţională privind practica de audit 1009 - tehnici de audit asistat de 
calculator. 


e 


e 


e 


2.4 Actul Sarbanes - Oxley 


Ca reactie la esecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul 
ENRON, profesia de auditor a devenit foarte bine reglementata. 

Cazul ENRON a antrenat, pe langa falimentul companiei de audit Arthur Andersen, si aprobarea de catre 
Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In sectiunea 404 a acestui Act, se cere 
managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare si 
de evaluare a controalelor privind procesele de raportare financiara, inclusiv in ceea ce priveste 
controalele IT. 

Schimbările necontrolate in mediul de producţie pot conduce la deficienţe serioase si la slăbiciuni 
semnificative. De aceea, o atenţie deosebită trebuie acordată procesului de implementare a schimbării 
sistemului informatic care susţine procesul de raportare pentru a asigura conformitatea cu SOX. 
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Un proces eficace de management al schimbării trebuie să fie documentat pentru a reduce efortul 
continuu necesar pentru maparea, validarea şi certificarea schimbărilor în procesul de raportare financiară 
pentru a asigura conformitatea cu SOX. 


2.5 Standardele IIA 


Fondată în anul 1941, The IIA este o asociaţie profesională, având un număr de peste 100.000 de 
membri şi reprezentanţe in mai mult de 100 de ţări. Aceasta este o autoritate recunoscută ca principal 
formator, leader în certificare, instruire, cercetare ştiinţifică şi ghidare tehnologică pentru profesia de 
auditor pe plan mondial. În domeniul auditului IT, The IIA promovează cunoştinţe specializate şi suport 
modern, în concordanţă cu tendinţele şi evoluţiile pe plan mondial, contribuind la accelerarea extinderii şi 
adaptării misiunilor de audit la cerințele impuse de existenţa unui mediu de audit informatizat pe scară 
largă. Adaptarea auditurilor IT la cerinţele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un 
exemplu relevant. 


The IIA furnizează nu numai standarde, ci şi numeroase resurse suplimentare pentru a asista auditori: 
ghiduri de implementare a celor mai bune practici, studii de caz şi alte instrumente integrate în cadrul de 
lucru IPPF (International Professional Practices Framework) disponibil pe website. 


În domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines) 
abordează probleme legate de managementul tehnologiei informaţiei, control şi securitatea informaţiei. 
Seria GTAG constituie o resursă pentru auditori, tratează riscurile asociate diferitelor tehnologii şi 
recomandă practicile pentru reducerea impactului acestora. 


Liniile directoare sunt structurate pe următoarele categorii de probleme: 


GTAG PG-15: Securitatea informaţiei 

GTAG PG-14: Auditul aplicaţiilor dezvoltate de utilizatori 

GTAG PG-13: Prevenirea şi detectarea fraudei într-un mediu informatizat 
GTAG PG-12: Auditul proiectelor IT 

GTAG PG-11: Elaborarea Planului de Audit IT 

GTAG PG-10: Managementul continuității 

PG GTAG-9: Managementul identităţii şi al accesului 

PG GTAG-8: Auditarea controalelor de aplicaţie 

PG GTAG-7: Externalizarea tehnologiei informaţiei 

PG GTAG-6: Managementul şi auditul vulnerabilitatilor IT 

GTAG PG-5: Managementul şi auditul riscurilor privind confidentialitatea 
PG GTAG-4: Managementul auditului IT 

PG GTAG-3: Audit continuu: Implicații pentru asigurare, monitorizare şi evaluare a riscurilor 
PG GTAG-2: Controale privind managementul schimbării 

PG GTAG-1: Controale IT 


Liniile directoare GAIT (Guide to the Assessment of IT Risk*°) 


Seria de linii directoare GAIT descrie relaţiile dintre riscurile afacerii, controalele cheie asociate proceselor 
afacerii, controalele automate şi controalele cheie din cadrul controalelor generale IT. Este o abordare 
bazată pe risc pentru auditarea controalelor generale IT ca parte a sistemului de control intern al entității, 
destinată identificării deficienţelor, în viziunea secţiunii 404 din Sarbanes-Oxley Act (SOX). 


39 Cadrul de practici profesionale internaţionale 
40 Ghid de evaluare a riscurilor IT 
Pag. 33 din 214 


2.6 COSO 


In ceea ce priveşte abordarea auditului bazată pe risc, un model general acceptat şi preferat pentru eva- 
luarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Spon- 
soring Organizations of the Treadway Commission (COSO) în anul 1992. În anul 2004 acest model a 
fost perfecţionat pentru a oferi un cadru de management al riscurilor acceptat pe scară largă, care include 
principii cheie, concepte, un limbaj comun privind riscurile şi ghiduri clare pentru implementare. Această 
direcţie nouă, numită Enterprise Risk Management Integrated Framework, furnizează patru categorii de 
obiective organizaționale şi opt componente interrelationate ale managementului eficace al riscului. 


2.7 Schimbări ale standardelor de audit IT în viziunea 
EUROSAI - ITWG 


Schimbari in standardele si liniile directoare de audit IT 


În această secţiune se prezintă o descriere sintetică a evoluţiilor în domeniul standardelor şi liniilor 
directoare de audit, confirmate de abordările şi reglementările instituţiilor supreme de audit şi puse în 
evidenţă de lucrările celei de-a 7-a întâlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, în 
perioada 21-22 februarie 2011. 


Reglementări internaţionale 


Ca organizaţii semnificative în domeniul reglementărilor şi ghidurilor (liniilor directoare) acţionează, în 
acest moment, următorii actori: 


IFAC (International Federation of Accountants), prin setul de standarde ISA Standaras; 
INTOSAI, prin setul de standarde /SSAI Standards; 

IIA (Institute of Internal Auditors), prin setul de standarde IIA Standards; 

ISACA (Information Systems Audit and Control Association), prin Liniile directoare de Audit şi 
Asigurare IT. 


oN > 


Ca preocupari/elaborari specifice pentru fiecare organizaţie se pot reţine elementele expuse in 
continuare. 


IFAC / ISA 


IFAC a publicat, in anul 2010, doua manuale referitoare, respectiv, la setul de standarde ISA (Handbook 
of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronoun- 
cements) si la codul de etica (Handbook of the Code of Ethics for Professional Accountants). 


INTOSAI / ISSAI 


De la primul ghid de audit al performantei (anul 2004), setul de linii directoare ISSAI a evoluat, la nivelul 
anului 2010, pe cele trei componente: 


a. Linii directoare privind Auditul performanţei (seria 3000 — 3999: ISSAI 3000 — 2004; ISSAI 3100 — 
aprobat 2010): 
b. Linii directoare privind Auditul conformităţii (seria 4000 — 4999: ISSAI 4000, 4100 şi 4200, toate 
aprobate în anul 2010); 
c. Linii directoare privind Peer Reviews (evaluarea performanţei de către alti factori cu experienţă in 
domeniu) — (seria 5600 — 5699: ISSAI 5600, aprobat 2010). 
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In ceea ce priveşte stadiul actual al colaborării între ITWG şi WGITA“! în domeniul standardelor, ca surse 
de cunoaştere şi facilitatori de schimb de informaţii, sunt disponibile diverse canale, cum ar fi: publicaţii, 
rapoarte, ghiduri, standarde şi baze de date. În plus, Liniile directoare ale INTOSAI referitoare la 
Comunicare şi Orientare sunt acum disponibile (versiunea iulie 2010, în limbile engleză şi germană). Se 
preconizează ca instrumentele de comunicare să fie utilizate şi consultate. 


Se aşteaptă îmbunătățiri şi cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de 
grupuri de lucru şi 630 de utilizatori), care este în prezent neutilizat. 


Aşa cum am menţionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de 
securitate a Informaţiilor", versiunea Octombrie 1995, trebuie să fie actualizate. 


IIA / Standardele IIA 
Începând cu anul 2009, IIA a operat modificări asupra setului de standarde IIA, respectiv: 
e A inclus forma imperativă “trebuie” în loc de forma opţională “ar trebui” în majoritatea 
standardelor; 
e  Aadăugat5 noi standarde; 
e A adăugat noi precizări şi comentarii la standardele existente. 


De remarcat că, trecerea de la forma opţională (ar trebui) la forma imperativă (trebuie) generează cerinţe 
pentru acţiuni care trebuie realizate. Ca impact practic, pentru unele compartimente de audit intern 
aceasta poate antrena numai schimbări minore, dar pentru altele pot fi necesare (multiple) activităţi 
adiţionale, unele de substanţă, pentru a se conforma cu standardele revizuite. 


Ca prevederi noi, de interes şi pentru activitatea Curţii de Conturi a României, se pot reţine cel puţin 
următoarele două: 


e Activitatea de audit intern trebuie să evalueze dacă şi în ce măsură guvernarea tehnologiei 
informaţiei în cadrul organizaţiei susţine (oferă suport pentru) strategiile şi obiectivele organizaţiei; 

e Activitatea de audit intern trebuie să evalueze expunerea la riscurile privind guvernarea si 
operarea organizaţiei, precum şi sistemul informatic, referitor la: 


o Eficacitatea şi eficienţa operaţiunilor şi programelor, 

o Protejarea bunurilor organizaţiei; 

o Conformitatea cu legile, reglementările, politicile, procedurile şi contractele aplicabile 
după caz. 


Convergenta IIA şi INTOSAI 


IIA şi Comitetul de Standarde Profesionale al INTOSAI au agreat, în luna decembrie 2010, un 
Memorandum de Intelegere (MOU), care documentează alinierea obiectivelor strategice ale organizaţiei, 
recunoaşte standardele globale ale fiecărei parti şi defineşte un proces de colaborare şi cooperare 
continuă între părţi. 


Un element de importanţă majoră al MOU este acordul reciproc că standardele specifice fiecărei 
organizaţii (seturile de standarde ISSAI şi, respectiv, IIA) sunt recunoscute la nivel global. 
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ISACA - Linii directoare de audit şi asigurare 


ISACA a elaborat, dezvoltă şi întreţine un set cuprinzător de linii directoare (ghiduri) pentru audit şi 
asigurare IT, dintre care menţionăm (selectiv): 


Utilizarea tehnicilor de audit asistat de calculator; 

Concepte de materialitate pentru auditarea sistemelor informatice; 
Efectele extinderii/generalizării controalelor pentru sistemele informatice; 
Utilizarea evaluării riscurilor în planificarea auditului; 

Revizuirea sistemelor de aplicaţie; 

Guvernarea IT. 


Pentru o listă completă şi actualizată de linii directoare se poate consulta pagina web www.isaca.org. 


În ceea ce priveşte cadrele de lucru proprii (frameworks), ISACA a anunţat, pentru anul 2011, 
diseminarea versiunii COBIT 5, care aduce ca trăsătură esenţială integrarea COBIT cu celelalte cadre de 
lucru disponibile: Val IT şi Risk IT. 


O reprezentare grafică a acestei scheme de integrare este redată în Fig. 1. Această schemă a fost 
prezentată şi recomandată SAI-urilor ca referință la cea de-a 7-a întâlnire a EUROSAI IT Working Group, 
care a avut loc la Istanbul, în perioada 21-22 Februarie 2011. 


Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referinţă pentru 
auditurile desfăşurate de SAI-uri. 


Relativ la COBIT, în cadrul EUROSAI - ITWG, până în prezent, au avut loc trei evenimente de formare 
COBIT: la Lisabona (2004), Tallinn (2008) şi Anvers (2009). CCR a participat la seminarul internaţional de 
la Tallinn. 


Republica Slovacă a organizat un seminar international intitulat «Auditul Sistemelor Informatice şi 
aplicarea standardelor de audit INTOSAI», în octombrie 2009. Pentru ITSA*? două seminarii privind lecţiile 
învăţate au avut loc, la Berna (2006) şi la Luxemburg (2007). Acestea au fost organizate cu scopul de a 
împărtăşi experienţele — prezentări ale SAl-urilor pentru SAl-uri, fără moderare externa. La Berna, în 
2009, s-a decis să se organizeze un alt eveniment de genul Lectiile învăţate, cu condiţia ca 12 SAl-uri să 
fie dispuse să participe. 


Sugestii privind reacţia la schimbări 


Pentru SAl-uri, reacţia la schimbările evidenţiate mai sus, se poate materializa în câteva orientări de 
natură practică a activităţii, între care: 


e Urmărirea consecventă a imbunatatirilor, dezvoltărilor şi amendamentelor, pentru a beneficia de 
standardele şi bunele practici internaţionale şi pentru a asigura conformitatea cu reglementările 
internaţionale; 

e Utilizarea optimală şi distribuirea informaţiei disponibile: baze de date, instrumente, ghiduri, 
publicaţii, rapoarte etc.; 

e Creşterea fluxului liber de informaţii, idei, experienţe şi cunoştinţe între grupuri de utilizatori, între 
membrii EUROSAI şi INTOSAI şi comunităţile IT. 


O problemă importantă este modul în care SAl-urile se ocupă de aceste schimbări şi evoluţii. Este 
recomandat să urmeze îndeaproape evoluţia standardelor de audit şi a liniilor directoare, pentru a le folosi 
şi a le distribui şi pentru a îmbunătăţi fluxul de informaţii. 
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Fig. 1. COBIT 5 — Integrarea COBIT, Val IT şi Risk IT 
(Cadrul de referinţă pentru audit IT recomandat de EUROSAI — ITWG) 


Având in vedere dinamica domeniului tehnologiei informaţiei, s-a ajuns la concluzia necesităţii revizuirii 
standardelor de audit IT utilizate până în prezent şi a actualizării în consecinţă. Punctul de vedere privind 
noua abordare bazată pe CobiT 5 care integrează standardele specifice de audit IT (CobiT*#, Val 1744 şi 
Risk IT”) a fost susţinut de Elveţia. 


COBIT a fost aliniat şi armonizat cu standarde detaliate şi bune practici IT: COSO46, ISO 2700047, ITIL48, 
Sarbanes-Oxley Act, BASEL II şi acţionează ca un integrator al acestor standarde, sintetizând obiectivele 
principale sub un singur cadru de referință general acceptat. 


În condiţiile trecerii la cadul de lucru COBIT 5, se va extinde referentialul pentru auditare şi la standardele 
enumerate mai sus, noua arhitectură asigurând convergenta cu acestea. 


43 Control Objectives for Information and related Technologies 
4 Value IT 
45 Risk IT 
46 COSO - Committee of Sponsoring Organizations of the Treadway Commission 
47 ISO 27000 - Set de standarde privind securitatea informaţiilor 
48 ITIL - IT Infrastructure Library 
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2.8 Cadrul de lucru COBIT 


2.8.1 ISACA, ITGI şi cadrul de lucru COBIT 


Evoluţia în domeniul auditului IT confirmă cristalizarea unor arhitecturi de auditare generale, un promotor 
reprezentativ în acest sens fiind ISACA (/nformation Systems Audit and Control Association). 


Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care 
include următoarele niveluri şi componente: standarde, ghiduri de aplicare, proceduri şi resursele COBIT. 
Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" în materie şi reprezintă o structură 
bazată pe un model general, detaliat, de controale şi tehnici de control destinat unui mediu informatizat. 
Componentele arhitecturii de auditare ISACA sunt: 
Standarde - Definesc cerinţele obligatorii pentru auditarea şi raportarea auditării sistemelor 
informatice. 
Ghiduri de aplicare - Furnizează ghiduri practice pentru aplicarea standardelor de auditare a 
sistemelor informatice. 
Proceduri - Furnizează exemple de proceduri pe care un auditor de sisteme informatice ar trebui 
să le urmeze (le-ar putea utiliza) în cadrul unui angajament de audit. 


Cel de-al patrulea element al ansamblului menţionat, resursele COBIT, funcţionează ca o sursă de 
ghidare pentru "cele mai bune practici" în materie. 


Unul dintre obiectivele asociaţiei ISACA este acela de a avansa (de a dezvolta şi disemina) standarde 
global aplicabile pentru atingerea viziunii proprii în materie de auditare IT/IS. 


COBIT este un cadru de lucru dezvoltat iniţial de către Information Systems Audit and Control Foundation 
(ISACF) şi publicat în anul 1996. Această primă versiune a fost urmată de o a doua ediţie, extinsă la 
nivelul documentelor sursă şi al componentelor, inclusiv prin adăugarea unui set de instrumente de 
implementare, care a fost publicată în anul 1998. 


Obiectivele de control elaborate de către ISACF (ISACA) au fost proiectate ca un instrument pentru 
auditori, în timp ce cadrul de lucru COBIT este un rezultat al evoluţiei către un instrument pentru 
management şi guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care 
permit decizii de implementare şi îmbunătăţire a proceselor IT: indicatori cheie de scop, indicatori cheie 
de performanţă, factori de succes critici, modele de maturitate. 


Necesitatea de a avea asigurări cu privire la valoarea tehnologiei informaţiei, managementul riscurilor 
asociate acestor tehnologii, precum şi cerințele sporite pentru controlul asupra informaţiilor sunt con- 
siderate ca un element-cheie al guvernării organizațiilor şi companiilor. Managementul valorii, mana- 
gementul riscurilor şi controlul constituie nucleul guvernării IT. 


COBIT (acronim de la Control Objectives for Information and related Technology) oferă un set de bune 
practici prin intermediul unui cadru de referință bazat pe domenii şi procese, prezentând activităţile de o 
manieră logică, uşor de gestionat. Setul de bune practici prezente în COBIT se concentrează în special 
pe controlul proceselor din cadrul organizaţiei, oferind bune practici care vor ajuta la optimizarea inves- 
titiilor IT, vor asigura livrarea serviciilor şi vor furniza un referential pe baza căruia se va judeca atunci 
când lucrurile nu merg bine. În acest context, COBIT constituie un instrument deosebit de util şi pentru 
auditori. 


Misiunea COBIT constă în cercetarea, dezvoltarea, publicarea şi promovarea unui cadru de referință 
pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaţional pentru a fi adoptat de către 
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organizaţii şi utilizat în activitatea cotidiană a managerilor, profesioniştilor IT şi auditorilor, având în vedere 
impactul semnificativ pe care informaţiile il pot avea asupra succesului organizaţiilor. 


Orientarea spre partea economică a COBIT constă în legătura dintre obiectivele afacerii şi obiectivele IT, 
furnizarea de metrici/indicatori şi de modele de maturitate pentru a cuantifica realizarea acestora, precum 
şi identificarea responsabilitatilor legate de afacere şi a responsabililor de procese IT. 


2.8.2 Orientarea COBIT pe domenii şi procese 


Orientarea COBIT pe procese este pusă în evidenţă de un model orientat pe patru domenii şi 34 de 
procese, in conformitate cu zonele de responsabilităţi pentru planificarea, dezvoltarea, utilizarea şi moni- 
torizarea IT, oferind o imagine asupra sistemului informatic al organizaţiei. 


Conceptele cu privire la arhitectura întreprinderii ajută la identificarea resurselor esenţiale pentru asi- 
gurarea succesului procesului, cum ar fi aplicaţiile, informaţiile, infrastructura şi resursele umane. 


Pentru a oferi informaţiile de care o organizaţie are nevoie pentru atingerea obiectivelor sale, resursele IT 
trebuie să fie gestionate de un set de procese grupate corespunzător, mediul informatic să fie controlat, 
riscurile să fie gestionate şi resursele IT să fie securizate. 


În primul rând, este nevoie de obiective de control care să definească şi să susţină obiectivul final de 
punere în aplicare a politicilor, planurilor şi a procedurilor, precum şi de structuri organizatorice concepute 
pentru a oferi o asigurare rezonabilă în ceea ce priveşte atingerea obiectivelor economice şi prevenirea 
sau detectarea şi corectarea evenimentelor neprevăzute. 


În al doilea rând, în mediile complexe de astăzi, managementul se află într-o căutare continuă de in- 
formaţii, condensate şi obţinute în timp util, pentru a lua decizii dificile, dar cu rapiditate şi succes cu 
privire la valoare, risc şi control. 


Organizațiile au nevoie de o unitate de măsură obiectivă asupra stadiului de dezvoltare, precum şi în ceea 
ce priveşte perfectionarile de care au nevoie, fiind practic obligate să pună în aplicare un instrument de 
management pentru a monitoriza aceste îmbunătăţiri. Un răspuns la aceste cerinţe de determinare şi de 
monitorizare a adecvarii şi de evaluare a performanţelor controalelor IT este dat de definițiile COBIT: 

* Analiza comparativă a performanţei şi capabilitatii unui proces IT este exprimată sub forma unui model 
de maturitate derivat din modelul CMM (Capability Maturity Model. 

e Obiectivele şi indicatorii unui proces IT definesc şi cuantifică rezultatele şi performanţa acestuia pe 
baza principiilor tablourilor cu indicatori agregati®. 

* Obiectivele activităţii au ca rol ţinerea proceselor sub control, pe baza controalelor COBIT. 


2.8.3 Modele de maturitate COBIT 


Evaluarea capabilități proceselor pe baza modelelor de maturitate COBIT este un element-cheie al 
punerii în aplicare a guvernării IT. După identificarea proceselor şi controalelor IT considerate critice, 
modelele de maturitate permit identificarea lacunelor capabilitatilor şi argumentarea acestora în fata 
managementului. Planurile de acţiune pot fi apoi dezvoltate pentru a duce aceste procese până la nivelul 
de capabilitate dorit. 


În concluzie, COBIT oferă un cadru de referință care asigură că: 
e Tehnologiile sunt aliniate cu afacerea; 
e Tehnologiile uşurează procesele economice şi maximizează beneficiile; 


49 de la Software Engineering Institute 
50 dezvoltate de Robert Kaplan si David Norton 
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e Resursele sunt utilizate cu responsabilitate; 
* Riscurile IT sunt gestionate in mod corespunzător. 


2.8.4 Măsurarea performanţelor 


Măsurarea performanţelor este esenţială pentru guvernarea IT. Aceasta este oferită de cadrul de lucru 
COBIT şi include stabilirea şi monitorizarea unor obiective cuantificabile cu privire la ceea ce procesele IT 
trebuie să ofere (rezultatul procesului), precum şi la modul in care se livrează (capabilitățile şi performanţa 
procesului). Multe studii au identificat că lipsa de transparenţă privind costurile associate serviciilor IT, 
valoarea investiţiilor IT, precum şi riscurile generate de prezenţa mediului informatizat reprezintă unul 
dintre cei mai importanţi factori ce afectează guvernarea IT. Transparenţa este obţinută în primul rând prin 
măsurarea performanţei. 


2.8.5 Zonele de interes pentru guvernarea IT 


Guvernarea IT se focalizează pe cinci zone principale: alinierea strategică, livrarea de valoare, manage- 
mentul riscurilor, managementul resurselor, măsurarea performanţei. 


+ Alinierea strategică se concentrează pe asigurarea legăturii dintre procesele economice şi 
planurile IT, definind, menţinând şi validând valoarea propusă pentru a fi obţinută prin utilizarea IT: 

* Furnizarea valorii se concentrează pe obţinerea de valoare pe tot parcursul ciclului de viata al 
sistemului informatic, asigurându-se că acesta oferă avantajele promise în conformitate cu 
strategia adoptată; 

e Managementul resurselor are in vedere optimizarea investiţiilor şi managementul cores- 
punzător al resurselor IT critice: aplicaţii, informaţii, infrastructură şi resurse umane. Aspectele 
principale vizează optimizarea cunoaşterii şi a infrastructurii; 

* Managementul riscurilor implică gradul de conştientizare a riscurilor de către management, o 
înţelegere clară a apetentei întreprinderii fata de risc, înţelegerea cerințelor de conformitate, de 
transparenţă cu privire la riscuri; 

e Măsurarea performanţelor urmăreşte şi monitorizează implementarea strategiei, finalizarea 
proiectului, utilizarea resurselor, performanţa procesului şi livrarea de servicii, utilizând, de 
exemplu, tablourile cu indicatori agregati, care traduc strategia în acţiune pentru a atinge 
obiective măsurabile, dincolo de contabilitatea convenţională. 


Cadrul de lucru COBIT oferă un model al proceselor generice ce prezintă toate procesele identificate în 
mod normal la nivelul funcţiei IT, oferind în acelaşi timp un model comun de referinţă ce poate fi înţeles 
atât de către manageri cât şi de auditori. 

Obiectivele de control IT din cadrul COBIT sunt organizate pe procese IT; prin urmare, cadrul de referință 
oferă o legătură clară între cerinţele de guvernare IT, procesele IT şi controalele IT. 


Guvernarea şi cadrele de referinţă pentru control devin parte a bunelor practici de management IT şi sunt, 
în acelaşi timp, un stimulent pentru punerea în practică a guvernării IT şi asigurarea conformităţii cu 
cerințele legale în continuă dezvoltare. 


Bunele practici în IT au devenit importante datorită unui număr de factori: 


e Conducerea solicită o rata de recuperare mai bună a investiţiilor în IT şi o asigurare ca IT 
corespunde nevoilor afacerii şi sporeşte valoarea pentru părţile interesate; 

. Îngrijorarea fata de nivelul, în general, tot mai mare al cheltuielilor cu IT; 

e Necesitatea de a îndeplini cerinţele de reglementare a controalelor IT, în domenii cum ar fi viata 
privată şi raportarea financiară (de exemplu, Actul Sarbanes-Oxley din USA, Basel II), precum şi 
în sectoare specifice, cum ar fi finanţe, industria farmaceutică sau asistenţa medicală; 

e Selecţia furnizorilor de servicii şi gestionarea achiziţiilor de servicii externalizate; 
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e Creşterea complexităţii riscurilor IT, cum ar fi securitatea reţelei; 

e inițiativele de guvernare IT ce includ adoptarea unor cadre de control si de bune practici cu 
scopul de a ajuta la monitorizarea şi îmbunătăţirea activităţilor IT critice pentru a creşte valoarea 
afacerii şi a reduce riscul economic; 

e Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor abordări mai 
degrabă standardizate decât special dezvoltate; 

e Creşterea nivelului de maturitate şi acceptarea pe scară larga a cadrelor de referinţă, cum ar fi 
COBIT, ITIL, seria ISO 27000 privind securitatea informaţiilor, standardele de calitate ISO 9001: 
2000 Quality Management Systems - Requirements, model de maturitate (CMMI), metodologie 
de proiectare în medii controlate (PRINCE2); 

e Nevoia organizaţiilor de a evalua modul în care acestea funcţionează, comparativ cu standardele 
general acceptate şi sau cu alte companii (benchmarking). 


Cadrul de referință COBIT a fost creat având ca principale caracteristici: 


Concentrarea pe componenta economică; 
Orientarea pe procese; 

Bazat pe controale; 

Conducerea prin indicatori. 


Qs = 


2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru 
COBIT 


Liniile directoare pentru auditare furnizează un instrument complementar de facilitare a aplicării cadrului 
de lucru şi a obiectivelor de control COBIT în activităţile de auditare şi evaluare. Scopul liniilor directoare 
pentru auditare este acela de a pune la dispoziţie o structură simplă pentru auditarea şi evaluarea con- 
troalelor bazată pe practici de auditare general acceptate, care sunt compatibile cu schema COBIT 
globală. Pentru o justă situare în ansamblu, considerăm util a descrie trăsăturile definitorii ale liniilor 
directoare pentru auditare şi relaţiile acestora în cadrul arhitecturii de auditare. 


(1)- O primă observaţie este aceea că, în mod inerent, liniile directoare pentru auditare sunt generice şi de 
nivel înalt în ceea ce priveşte structura proprie, ca o consecinţă directă a diversităţii obiectivelor şi prac- 
ticilor de auditare adoptate de o organizaţie sau alta, precum şi a diversităţii profesioniştilor implicaţi în 
auditare. 


(2)- Caracteristica de esenţă rezidă în aceea că, prin faptul că se bazează pe obiectivele de control, liniile 
directoare pentru auditare asigură eliminarea opiniei auditorului din concluziile auditului (asigură deci, o 
obiectivizare a concluziilor auditului), înlocuind această opinie cu criterii de autoritate recunoscută derivate 
din fundamentele COBIT (41 de standarde şi documente de bune practici, din sistemul public şi privat, 
recunoscute pe plan mondial). 


(3)- Liniile directoare pentru auditare furnizează ghidare pentru elaborarea de planuri de auditare care se 
integrează cu cadrul de lucru COBIT şi obiectivele de control detaliate, şi care pot fi deci utilizate în 
contextul obiectivelor de control COBIT. Astfel de planuri de auditare pot fi extinse şi rafinate până la 
programe de auditare specifice. 


(4)- Liniile directoare pentru auditare permit auditorului revizuirea proceselor IT specifice prin prisma 
obiectivelor de control COBIT şi sprijinirea în consecință a managementului: indicarea locurilor unde 
controalele sunt suficiente sau unde procesele trebuie să fie îmbunătăţite. 


(5)- Combinația dintre Cadrul de lucru COBIT şi Liniile Directoare pentru Auditare se poate utiliza atât în 
manieră reactivă, cât şi în manieră proactivă, aceasta din urmă în fazele iniţiale ale dezvoltării proiectelor 
şi proceselor. 
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Structura generală a Liniilor Directoare pentru Auditare 


Structura generală a liniilor directoare pentru auditare este inspirată de modelele generale de evaluare a 
controalelor: (a)- modelul de auditare (cel mai răspândit) sau (b)- modelul de analiză a riscului. 


In cele ce urmează, vom prezenta o descriere a liniilor directoare pentru auditare prin prisma modelului de 
auditare. Un asemenea model ia în considerare o serie de obiective specifice ale auditării, între care cele 
mai importante sunt: (a) de a furniza managementului o asigurare rezonabilă asupra faptului că obiec- 
tivele de control sunt atinse, (b) de a substantializa riscul rezultant, acolo unde sunt puse în evidenţă 
puncte slabe ale controalelor, şi (c) de a consilia managementul asupra acţiunilor corective. 


In aceeaşi linie de idei, se poate adopta ca premisă şi faptul că structura general acceptată a procesului 
de auditare include următoarele componente (faze): (1)- identificarea şi documentarea; (2)- evaluarea; 
(3)- testarea conformităţii; (4)- testarea bazată pe probe. 


Cadrul de auditare construit pe cerinţele COBIT este prezentat într-o manieră ierarhizată pe nivele, cu o 
orientare declarată către obiectivele afacerii, fiind dirijat de proces. De asemenea, cadrul de lucru are o 
dublă focalizare: pe resursele care trebuie gestionate şi pe criteriile de informaţie care sunt necesare. 


2.8.7 Criteriile COBIT pentru informaţie 


Pentru a satisface obiectivele afacerii, informaţia trebuie să se conformeze anumitor criterii de control pe 
care COBIT le evidenţiază sub forma de cerinţe ale afacerii pentru informaţie. Pe baza cerințelor generale 
de calitate, de încredere şi de securitate, au fost definite şapte criterii distincte pentru informaţii, după cum 
urmează: 
e Eficacitatea: impune ca informaţiile să fie relevante şi pertinente pentru procesul economic, 
precum şi să fie livrate într-un timp util şi de o manieră corectă, coerentă şi uşor de utilizat. 
e Eficiența: se referă la furnizarea de informaţii prin utilizarea optima a resurselor (raportându-ne la 
productivitate şi economicitate). 
e Confidentialitatea: se referă la protejarea informaţiilor sensibile impotriva divulgării neautorizate. 
e Integritatea: se referă la acurateţea şi exhaustivitatea informaţiilor, precum si la valabilitatea 
acestora, în conformitate cu valorile şi asteptările organizaţiei. 
e Disponibilitatea: impune ca informaţiile sa fie disponibile atunci când procesul economic o cere, 
la momentul actual sau în viitor. De asemenea, se referă la protejarea resurselor necesare şi a 
capacităţilor asociate. 
e Conformitatea: se referă la conformitatea cu cadrul legislativ şi de reglementare, cu acordurile 
contractuale la care este supus procesul economic. 
e Fiabilitatea: se referă la furnizarea de informaţii adecvate managementului pentru a opera 
entitatea şi pentru a-şi exercita responsabilitatile de guvernare. 


2.8.8 Resursele IT 


Funcţia IT îşi atinge scopurile printr-o serie bine definită de procese care implică aptitudinile personalului 
şi infrastructura tehnologică pentru a executa aplicaţii automatizate ce deservesc derularea afacerii, 
folosind pârghii informaţionale specifice afacerii. 

Resursele IT identificate în COBIT pot fi definite după cum urmează: 


e Aplicațiile: sunt sistemele utilizator automatizate şi procedurile manuale care prelucrează 
informaţiile. 

e Informațiile: reprezintă datele, de toate tipurile, intrate, procesate şi rezultate din sistemele 
informaţionale, indiferent de forma sub care sunt utilizate în derularea afacerii. 
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e infrastructura: este formată din tehnica şi tehnologiile care permit procesarea şi rularea 
aplicaţiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de management al 
bazelor de date, reţele, multimedia şi întreg mediul de tip suport în care se găsesc). 

e Resursele umane: reprezintă întreg personalul necesar pentru a planifica, organiza, achiziţiona, 
implementa, furniza, susţine, monitoriza şi evalua sistemele informaţionale şi serviciile. Aceştia 
pot fi angajaţi permanenţi ai firmei, angajaţi temporar pe bază de contract sau funcţiile lor pot fi 
închiriate de pe piaţa serviciilor externalizate, după cerinţe. 


2.8.9 Domeniile COBIT 


Cadrul de lucru COBIT defineşte activităţile legate de IT într-un model general al proceselor cu patru 
domenii: Planificare şi Organizare*' (directioneaza furnizarea soluţiilor şi a serviciilor), Achizitie şi Imple- 
mentare®2 (oferă soluţiile şi le transmite mai departe spre a fi transformate în servicii), Furnizare si 
Suports (primeşte soluţiile şi le face utilizabile pentru utilizatorii finali), Monitorizare şi Evaluare* (super- 
vizează toate procesele pentru a fi asigurat faptul că direcţiile şi măsurile decise sunt urmate întocmai 
spre a fi îndeplinite). 


Pentru a păstra conformitatea cu cadrul de lucru, pentru procesele COBIT în lucrare vor fi folosite acro- 
nimele corespunzătoare din limba engleză: PO, Al, DS, ME. 


Cadrul COBIT oferă un model al proceselor şi un limbaj comun tuturor celor implicaţi în IT dintr-o orga- 
nizatie, pentru a vizualiza şi conduce activităţile legate de IT către o bună guvernare IT. De asemenea, 
acest cadru permite măsurarea şi monitorizarea performanţei IT, comunicarea cu furnizorii de servicii şi 
adoptarea celor mai bune practici de management. Modelul proceselor susţine gestiunea per proces, 
precum şi îndatoririle şi responsabilitatile definite. 


PLANIFICARE ŞI ORGANIZARE (Plan & Organise - PO) 


Acest domeniu acoperă strategia şi tacticile şi vizează identificarea celor mai potrivite căi prin care teh- 
nologia informaţiei poate contribui la îndeplinirea obiectivelor afacerii. Implementarea viziunii strategice 
este necesar a fi planificată, comunicată şi abordată din diverse perspective, având în vedere că se 
raportează, pe de o parte, la sistemul de organizare, precum şi, pe de altă parte, la asigurarea unei infra- 
structuri tehnologice. 


Când este evaluat acest domeniu, se pun următoarele întrebări: 


+ Daca strategia IT este aliniată la strategia afacerii; 

+ Dacă organizaţia atinge un nivel optim de utilizare a resurselor disponibile; 

+ Daca obiectivele IT sunt înțelese de către toţi membrii organizaţiei; 

+ Dacă riscurile IT sunt cunoscute şi gestionate; 

+ Dacă nivelul de calitate al sistemelor IT răspunde în mod corespunzător nevoilor afacerii. 


ACHIZIȚIE ŞI IMPLEMENTARE (Acquire & Implement - Al) 


În vederea realizării strategiei IT, soluţiile IT trebuie identificate, dezvoltate sau achiziţionate, dar si imple- 
mentate şi integrate în procesele afacerii. În plus, pentru a se asigura continuitatea în atingerea obiec- 
tivelor economice pe baza soluţiilor IT, sunt acoperite, prin acest domeniu, schimbările şi mentenanta 
sistemelor deja existente. 


51 PO — Plan and Organize 
52 Al — Acquire and Implement 
53 DS — Deliver and Support 
54 ME — Monitor and Evaluate 
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Când este evaluat acest domeniu, se pun următoarele întrebări: 


+ Dacă există perspective ca noile proiecte să ofere soluţii care să răspundă nevoilor afacerii; 

+ Dacă noile proiecte au şanse să fie duse la bun sfârşit, în timpul şi cu bugetul prevăzute; 

+ Dacă noile sisteme vor funcţiona după implementare; 

+ Dacă este posibil ca schimbările să aibă loc fără a perturba activităţile curente ale 
afacerii/organizaţiei. 


FURNIZARE ŞI SUPORT (Deliver & Support - DS) 


Acest domeniu este responsabil de furnizarea efectivă a serviciilor necesare, ceea ce include furnizarea 
serviciilor IT, managementul securităţii şi al continuității, servicii suport pentru utilizatori şi managementul 
datelor şi al capabilitatilor operaţionale. 


Când este evaluat acest domeniu, se pun următoarele întrebări: 


+ Daca serviciile IT sunt furnizate în conformitate cu priorităţile afacerii; 

+ Dacă sunt optimizate costurile IT; 

+ Dacă personalul poate folosi sistemele IT in mod productiv şi în siguranţă; 

+ Daca, în vederea asigurării securităţii, sunt adecvate confidentialitatea, disponibilitatea şi inte- 
gritatea. 


MONITORIZARE ŞI EVALUARE (Monitor & Evaluate - ME) 


Toate procesele IT trebuie evaluate periodic, din perspectiva calităţii lor şi a conformităţii cu cerințele 
controlului. Acest domeniu este axat pe managementul performanţei, monitorizarea controlului intern, 
conformarea cu legislaţia (sau/şi cadrul de reglementare) şi are în vedere şi guvernarea IT. 


Când este evaluat acest domeniu, se pun următoarele intrebări: 


+ Dacă este măsurată performanţa sistemului IT pentru a detecta la timp problemele; 

+ Daca managementul asigură eficienţa şi eficacitatea controlului intern; 

+ Dacă se poate face o evaluare privind impactul performanței sistemului IT asupra 
tintelor/scopurilor afacerii; 

+ Daca, în vederea asigurării securităţii, sunt adecvate confidentialitatea, integritatea şi 
disponibilitatea. 


În cadrul celor patru domenii, COBIT conţine 34 de procese IT a căror utilizare este generală. Pentru a 
verifica completitudinea activităţilor şi a responsabilitatilor, COBIT pune la dispoziţie o listă completă a 
proceselor. În funcţie de tipul organizaţiei, ele pot fi aplicate integral, partial, sau pot fi combinate după 
necesităţi. Pentru fiecare din aceste 34 de procese se face o trimitere către obiectivele afacerii si obiec- 
tivele IT pe care le susţin. De asemenea, sunt oferite informaţii despre modul in care pot fi măsurate, 
despre activităţile cheie şi principalele rezultat şi în responsabilitatea cui cade asigurarea lor. 


COBIT defineşte atât obiectivele de control pentru toate cele 34 de procese, cât şi controale specifice 
aferente aplicaţiilor. 


2.8.10 Controalele asociate proceselor 


Controlul este definit ca totalitatea politicilor, procedurilor, practicilor şi a structurilor organizaționale 
proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse şi eveni- 
mentele nedorite vor fi prevenite sau detectate şi corectate. 


Obiectivele de control IT incluse în COBIT oferă un set complet de cerinţe de nivel înalt care trebuie luate 
în considerare de către management, în vederea unui control eficient al fiecărui proces IT. 
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Ele pot fi materializate sub următoarele forme sau acţiuni: 


Afirmatii declarative ale managementului privind creşterea valorii sau reducerea riscului; 

Politici, proceduri, practici şi structuri organizaționale; 

Sunt concepute spre a asigura in mod acceptabil faptul că obiectivele afacerii vor fi atinse şi 
evenimentele nedorite vor fi prevenite sau detectate şi corectate; 

Managementul organizaţiei trebuie să facă unele alegeri privind obiectivele de control: selectarea 
obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse în practică. 

Alegerea modului de a implementa controalele (frecvenţă, durată, grad de automatizare etc.). 
Acceptarea riscului neimplementării controalelor aplicabile. 


Întrucât obiectivele de control IT ale COBIT sunt ataşate proceselor IT, cadrul de referință COBIT oferă 
corespondentele între cerinţele guvernării IT, procesele IT şi controalele IT. 


Fiecare dintre procesele IT definite in COBIT are o descriere a procesului şi un număr de obiective legate 
de controlul aferent. Văzute ca un întreg, ele sunt caracteristicile unor procese bine gestionate. 


Obiectivele de control sunt identificate prin două caractere (abrevierea domeniului din care fac parte: PO, 
Al, DS şi ME), un număr al procesului şi un număr al obiectivului controlului. 


2.8.11 Cerinţele obiectivelor de control 


Fiecare proces COBIT are asociate, în afară de obiective de control, şi cerinţe generale de control care 
trebuie avute in vedere împreună cu obiectivele de control ale proceselor. 


Scopurile şi obiectivele proceselor: Defineşte şi comunică scopuri şi obiective ale proceselor cu 
respectarea principiilor SMART (specific, măsurabil, realizabil, realist, orientat spre rezultat şi 
posibil de realizat în timp) pentru execuţia eficientă a fiecărui proces IT. Asigură corespondenţa 
cu obiectivele afacerii şi că acestea sunt susţinute de indicatori relevanti. 
Responsabilitatea procesului: Stabileşte un responsabil al procesului pentru fiecare proces IT şi 
defineşte clar rolurile şi responsabilitatile sale. Include, de exemplu, responsabilitatea pentru 
proiectarea procesului, interacţiunea cu alte procese, răspunderea pentru rezultatele finale, 
măsurarea performanţei procesului şi identificarea oportunităţilor de îmbunătăţire. 
Repetabilitatea procesului: Proiectează şi stabileşte fiecare proces cheie spre a fi repetabil şi 
consecvent în producerea rezultatelor aşteptate. Furnizează o secvenţa logică, dar flexibilă şi 
scalabilă a activităţilor care vor conduce la rezultatele dorite şi suficient de agilă pentru a face fata 
excepțiilor şi urgentelor. Utilizează procese compatibile, acolo unde e posibil şi le modifica doar 
acolo unde nu se poate evita acest lucru. 
Roluri şi responsabilităţi: Defineşte activităţile cheie şi livrabilele procesului. Atribuie şi comunică 
rolurile definite fără ambiguitate şi responsabilitatile pentru o execuţie eficientă şi eficace a 
activităţilor cheie şi pentru documentarea lor, ca şi răspunderea pentru furnizarea rezultatelor 
finale ale procesului. 
Politici, planuri şi proceduri: Defineşte şi comunică modul în care toate politicile, planurile şi 
procedurile care conduc un proces IT sunt documentate, revizuite, menținute, aprobate, păstrate, 
comunicate şi utilizate pentru instruire. Atribuie responsabilitatile pentru fiecare din aceste 
activităţi şi, la momentele adecvate, revizuieşte execuţia lor corectă. Se asigură că politicile, 
planurile şi procedurile sunt accesibile, corecte, înţelese şi înnoite. 
Îmbunătăţirea performanţei procesului: Identifică un set de indicatori care oferă o imagine asupra 
rezultatelor şi a performanţei procesului. Stabileşte ţinte care se reflectă în scopurile proceselor şi 
în indicatorii de performanţă ce permit atingerea scopurilor procesului. Defineşte modul în care 
datele vor fi obţinute. Compară măsurătorile cu ţintele stabilite şi acţionează, acolo unde este 
cazul, conform deviaţiilor constatate. Aliniază indicatorii, valorile-tinta şi metodele cu abordarea 
globală cu privire la monitorizarea performanţei sistemului IT. 
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Implementarea unor controale eficace reduce riscul, creşte probabilitatea obţinerii de valoare şi 
îmbunătăţeşte eficienţa prin diminuarea numărului de erori şi printr-o abordare managerială consistentă. 


2.8.12 Controalele IT şi controalele economice 


Sistemul de control intern al unei întreprinderi produce un impact asupra mediului IT, pe trei nivele: 


1. 


La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar deciziile 
care se iau vizează modul în care trebuie dezvoltate şi gestionate resursele organizaţiei pentru a 
executa strategia acesteia. Mediul de control IT este direcționat prin acest set de obiective şi 
politici de la cel mai înalt nivel. 


La nivelul proceselor afacerii, controalele sunt aplicate anumitor activităţi. Majoritatea proceselor 
economice sunt automatizate şi integrate cu sistemele de aplicaţii IT astfel că multe dintre 
controalele aferente acestui nivel sunt şi ele automatizate. Ele sunt cunoscute sub denumirea de 
controale de aplicaţie. Totuşi, unele controale ale proceselor economice rămân a fi implementate 
prin proceduri manuale, cum ar fi: autorizarea tranzacţiilor, segregarea sarcinilor (îndatoririlor), 
reconcilierile manuale. Astfel, controalele la nivelul proceselor economice sunt o combinaţie de 
controale manuale operate de afacere şi controale automatizate din afacere (controale de 
aplicaţie). Ambele cad în responsabilitatea domeniului afacerii pentru a fi definite şi gestionate, 
deşi proiectarea şi dezvoltarea controalelor aplicaţiilor impune suportul şi implicarea funcţiei IT. 


Pentru a oferi suport proceselor afacerii, tehnologia informaţiei pune la dispoziţie serviciile IT, de 
obicei ca servicii partajate între mai multe procese ale afacerii, după cum, multe dintre procesele 
de dezvoltare şi procesele operaţionale ale sistemului IT sunt dedicate întregii organizaţii, iar o 
mare parte din infrastructura IT este furnizată ca serviciu comun (partajarea reţelelor, a bazelor 
de date, a sistemelor de operare). Controalele implementate pentru întreg mediul IT sunt 
cunoscute drept controale generale IT. Operarea eficientă a acestor controale generale IT este 
necesară pentru ca şi controalele de la nivelul aplicaţiilor să fie de încredere. 


2.8.13 Controale generale IT şi controale de aplicaţii 


Controalele generale sunt incorporate în procesele şi serviciile IT şi includ: dezvoltarea sistemelor, 
managementul schimbării, securitatea, operarea sistemului. 


Controalele incorporate în aplicaţiile proceselor economice sunt cunoscute drept controale ale aplicaţiilor 
care includ: completitudinea, acurateţea, validitatea, autorizarea, separarea sarcinilor de serviciu. 


COBIT admite că proiectarea şi implementarea controalelor automatizate ale aplicaţiilor cade în 
îndatoririle funcţiei IT, în baza nevoilor/cerintelor afacerii definite folosind criteriile COBIT pentru informaţii. 
Managementul operaţional şi responsabilitatea asupra gestiunii controalelor aplicaţiei aparţin respon- 
sabilului de proces (nu funcţiei IT). 

Responsabilitatea pentru controalele aplicaţiilor este o responsabilitate comună atât domeniului 
economic, cât şi funcţiei IT, dar natura acestor responsabilităţi se schimbă dupa cum urmează: 


a) domeniul economic este responsabil pentru: 


- definirea corespunzătoare a cerinţelor funcţionale şi de control 
- utilizarea serviciilor automatizate în mod adecvat 


b) domeniul IT este responsabil pentru: 


- automatizarea şi implementarea cerinţelor funcţionale şi de control 
- stabilirea elementelor de gestiune pentru a menţine integritatea controalelor aplicaţiilor 


Lista de mai jos conţine o serie recomandată de obiective de control ale aplicaţiilor 
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+ Pregătirea şi autorizarea surselor de date: Asigură faptul că documentele sursă sunt pregătite de 
personal autorizat şi calificat, folosind proceduri anterior stabilite, demonstrând o separare adec- 
vată a îndatoririlor cu privire la generarea şi aprobarea acestor documente. Erorile şi omisiunile 
pot fi minimizate printr-o bună proiectare a intrărilor. Detectează erorile şi neregulile spre a fi 
raportate şi corectate. 

+ Colectarea surselor de date si introducerea in sistem: Stabileşte faptul că intrările (datele de 
intrare) au loc la timp, fiind făcute de către personal autorizat şi calificat. Corectarea şi retrimiterea 
datelor care au intrat în sistem în mod eronat trebuie să aibă loc fără a compromite nivelurile 
iniţiale de autorizare privind tranzacţiile (intrările). Când este nevoie să se reconstituie intrarea, 
trebuie reţinută sursa iniţială pentru o perioadă suficientă de timp. 

e  Verificari privind: acurateţea, completitudinea şi autenticitatea: Asigură faptul că tranzacţiile sunt 
precise (exacte), complete şi valide. Validează datele introduse şi le editează sau le trimite înapoi 
spre a fi corectate cât mai aproape posibil de punctul de provenienţă. 

+ integritatea şi validitatea procesului: Menţine integritatea şi validitatea datelor de-a lungul ciclului 
de procesare. Detectarea tranzacţiilor compromise din punct de vedere al erorilor nu întrerupe 
procesarea celor valide. 

+ Revizuirea rezultatelor, reconcilierea şi tratarea erorilor: Stabileşte procedurile şi responsabilitatile 
asociate pentru a asigura că rezultatul este utilizat într-o manieră autorizată, distribuit desti- 
natarului potrivit şi protejat în timpul transmiterii sale, că se efectuează: verificarea, detectarea şi 
corectarea exactitatii rezultatului şi că informaţia oferită în rezultatul procesării este utilizată. 

+ Autentificarea şi integritatea tranzacţiilor. Înainte de a transmite datele tranzacţiei de la aplicaţiile 
interne către funcţiile operaţionale ale afacerii (sau către exteriorul întreprinderii), trebuie 
verificate: destinaţia, autenticitatea sursei şi integritatea conţinutului. Mentine autenticitatea şi 
integritatea transmiterii sau ale transportului. 


2.8.14 Orientarea spre evaluare (măsurători) 


Organizațiile au nevoie să evalueze starea in care se află şi unde anume se impune o îmbunătăţire, iar 
pentru aceasta, au nevoie să pună în practică un ghid de management în vederea monitorizării acestei 
evoluţii de îmbunătăţire. COBIT tratează aceste aspecte oferind: 


+ Modele de maturitate, care să permită stabilirea unui sistem de indicatori ai performanţei si 
identificarea măsurilor de perfecţionare a capabilitatilor; 

+ Tinte ale performanţei (scopuri) şi metrici (indicatori) pentru procesele IT, prin care se 
demonstrează modul în care procesele susţin afacerea şi obiectivele IT, precum şi modul în care 
pot fi utilizate în evaluarea performanţei proceselor interne, pe baza principiilor indicatorilor 
generali de performanţă ai activităţii (balanced scorecard): 

e Scopuri ale activităţilor (ţinte) prin care este facilitată, in mod eficace, performanţa procesului. 


2.8.15 Model generic de maturitate 


COBIT admite cinci grade de maturitate: 


0 - Non-existent 

1 - Initial / Ad Hoc 

2 - Repetabil dar intuitiv 
3 - Proces definit 

4 - Gestionat şi măsurabil 
5 - Optimizat 


Modelul maturității este o modalitate de a evalua cât de bine sunt dezvoltate procesele de management, 
de exemplu, care e capacitatea lor, cât de capabile sunt. Aspectul legat de cât de bine dezvoltate sau 
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capabile sunt, depinde în principal de obiectivele IT şi de nevoile afacerii, pe care procesele le susţin. Cât 
de bine este desfăşurată capabilitatea depinde foarte mult de ceea ce aşteaptă organizaţia să obţină de la 
respectiva investiţie. 


Modelele de maturitate sunt construite pornind de la modelul general al calităţii la care sunt adăugate 
principii provenind din următoarele atribute, într-o manieră ascendentă pe niveluri: 


+  Conştientizare şi comunicare 

+ Politici, planuri şi proceduri 

e Instrumente şi automatisme 

e Abilităţi şi expertiză 

e Sarcini şi responsabilităţi 

+ Stabilirea obiectivelor şi a indicatorilor de evaluare 


2.8.16 Măsurarea performanţei 


Obiectivele şi indicatorii sunt definiti in COBIT pe trei niveluri: 


1. Obiectivele IT şi indicatorii care descriu ceea ce aşteaptă afacerea de la IT şi modul în care sunt 
măsurate aceste aşteptări; 

2. Obiectivele proceselor şi indicatorii care descriu ceea ce procesul IT trebuie să ofere pentru a 
susţine obiectivele IT şi modul în care sunt măsurate aceste aşteptări; 

3. Obiectivele activităţilor şi indicatorii care stabilesc ceea ce trebuie să aibă loc în cadrul unui 
proces pentru a atinge gradul de performanţă cerut şi modul în care sunt măsurate aceste 
prevederi. 


Metricile utilizate pentru măsurarea performanţei sunt: 


a) Indicatori de rezultate (pentru ieşiri care relevă dacă obiectivele au fost atinse. Ei pot fi 
determinaţi numai după actul faptic şi de aceea se numesc indicatori de confirmare — de feedback 
(lag indicators). 

b) Indicatori de performanţă care pun în evidenţă faptul ca obiectivele ar putea fi atinse. Ei pot fi 
determinaţi înainte ca rezultatul să fie cert, şi de aceea se numesc indicatori țintă — de referinţă 
(lead indicators). 


Indicatorii rezultatelor definesc metrici, care informează managementul — ulterior producerii evenimentului 
- dacă o funcţie IT, un proces sau o activitate şi-a atins obiectivele. Indicatorii aferenti funcţiilor IT sunt 
foarte des exprimati în termeni de criterii informaţionale: disponibilitatea informaţiei necesare pentru a 
susține nevoile afacerii, absenţa riscurilor asociate integrităţii şi confidentialitatii, analiza cost-eficienta 
pentru procese şi operaţiuni, confirmarea siguranței, eficienţei şi conformităţii. 


2.8.17 Modelul cadrului de referinţă COBIT 


Cadrul de referință oferit de COBIT leagă nevoile informaţionale ale afacerii şi cerinţele legate de 
guvernare de obiectivele funcţionării serviciilor IT. Modelul proceselor din COBIT permite activităţilor IT şi 
resurselor aferente care le sustin să fie administrate şi controlate în baza obiectivelor de control definite în 
COBIT, pentru a se alinia şi a monitoriza procesele folosind obiectivele şi indicatorii COBIT. 

În rezumat, procesele IT utilizează şi administrează resursele IT pentru îndeplinirea acelor obiective IT 
care răspund cerinţelor afacerii. Acesta este principiul de bază al cadrului de referinţă COBIT. 

Cadrul de lucru COBIT se bazează pe analiza şi armonizarea standardelor şi bunelor practici IT existente 
şi este în conformitate cu principiile de guvernare general acceptate. Este poziţionat la cel mai înalt nivel, 
determinat de cerinţele economice, acoperă întreaga gama de activităţi IT şi se concentrează pe ceea ce 
ar trebui să fie realizat, mai degrabă decât pe cum să se asigure o guvernare, un management şi un 
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control eficiente. Prin urmare, acţionează ca un integrator de practici de guvernare IT şi face apel la 
conducerea executivă, la conducerea operaţională şi la managementul IT, la profesionişti din domeniul 
securităţii, precum si la profesionişti din domeniul auditului şi controlului. Este proiectat pentru a fi 
complementar cu, şi utilizat împreună cu alte standarde şi bune practici. 

COBIT are relevanţă pentru următorii utilizatori: 


e Managementul executiv - pentru a obţine valoare din investiţiile în IT, a echilibra riscul şi 
controlul investiţiilor într-un mediu IT care de cele mai multe ori nu e predictibil. 

e Managementul afacerii - pentru a avea asigurarea asupra managementului şi controlului 
serviciilor IT furnizate intern sau de parti terțe. 

e Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susţine 
strategia de afaceri de o manieră controlabilă şi organizată. 

e Auditori - pentru a da substanţă opiniilor proprii şi / sau a oferi recomandări managementului în 
legătură cu controalele interne. 


2.8.18 Procese şi obiective de control 


DOMENIUL PO (Plan & Organize) 
PROCESUL PO1 - Definirea planului strategic IT 


Planificarea strategică a tehnologiilor informaţionale este necesară pentru a administra şi a directiona 
toate resursele IT în concordanţă cu strategia şi priorităţile organizaţiei. Funcţia IT şi beneficiarii acesteia 
sunt responsabili pentru asigurarea realizării valorii optime a proiectului şi a portofoliului de servicii. Planul 
strategic urmăreşte să îmbunătăţească gradul şi capacitatea de înţelegere din partea beneficiarilor în 
ceea ce priveşte oportunităţile şi limitările, stabileşte nivelul de performanţă curentă, identifică cerinţele 
privind capacitatea şi necesarul de resurse umane şi clarifică nivelul necesar de investiţii. Strategia orga- 
nizatiei şi priorităţile trebuie sa fie reflectate prin portofolii şi să fie executate prin intermediul planurilor 
tactice, planuri ce specifică obiective concise, planuri de acţiune şi sarcini. Toate acestea trebuie să fie 
înţelese şi acceptate de întreprindere şi de departamentul IT. 


Obiective de control 

PO1.1 Managementul valorii IT 

PO1.2 Alinierea cerinţelor economice cu tehnologia informaţiei 
PO1.3 Evaluarea capabilitatii şi performanței curente 

PO1.4 Planul Strategic IT 

P01.5 Planurile tactice IT 

PO1.6 Managementul portofoliului IT 


PROCESUL PO2 - Definirea arhitecturii informaţionale 


Funcţia sistemelor informaţionale creează şi actualizează în mod frecvent un model informaţional pentru 
organizaţie şi defineşte sistemele potrivite pentru optimizarea folosirii informaţiilor. Permite înglobarea 
dezvoltării dicționarului de date al organizaţiei cu regulile de sintaxă a datelor organizaţiei, cu schemele 
de clasificare a datelor şi cu nivelele de securitate. Acest proces îmbunătăţeşte calitatea procesului 
decizional asigurând obţinerea de informaţii de încredere şi sigure. 

Procesul permite rationalizarea resurselor sistemelor informaţionale în vederea potrivirii cu strategia eco- 
nomică. De asemenea, este nevoie de acest proces pentru a creşte responsabilitatea cu privire la 
integritatea şi securitatea datelor şi pentru a mări eficacitatea şi controlul asupra informaţiilor partajate 
între aplicaţii şi entităţi. 
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Obiective de control 

PO2.1 Modelul arhitecturii informaţionale a întreprinderii 

PO2.2 Dicţionarul de date al întreprinderii şi regulile de sintaxă a datelor 
PO2.3 Schema de clasificare a datelor 

PO2.4 Managementul integrităţii 


PROCESUL PO3 - Determinarea direcţiei tehnologice 


Funcţia serviciilor informaţionale determină direcţia tehnologică necesară în sprijinul afacerii. Aceasta 
necesită crearea unui plan al infrastructurii tehnologice şi al unei conduceri ce stabileşte şi administrează 
în mod clar şi realist aşteptările cu privire la ceea ce poate oferi tehnologia în materie de produse, servicii 
şi mecanisme de livrare. Planul este actualizat periodic şi înglobează aspecte cum ar fi: arhitectura sis- 
temului, direcţia tehnologică, planuri de achiziţie, standarde, strategii de migrare şi situaţiile neprevăzute. 

Acestea fac posibile reacţiile în timp util la schimbările din mediul concurential, economiile de scară cu 
privire la personalul IT şi la investiţii, precum şi îmbunătăţirea interoperabilitatii platformelor şi aplicaţiilor. 


Obiective de control 

PO3.1 Planificarea direcţiei tehnologice 

PO3.2 Planul infrastructurii tehnologice 

PO3.3 Monitorizarea tendinţelor viitoare şi a reglementărilor 
PO3.4 Standardele tehnologice 

PO3.5 Forumul/comitetul/consiliul arhitecturii IT 


PROCESUL PO4 - Definirea proceselor IT, a funcţiei şi a relaţiilor 


Structura funcţională IT este definită luând în considerare cerințele cu privire la personal, abilităţi, funcţii, 
responsabilităţi, autoritate, roluri şi supraveghere. Această structură funcţională este inclusă într-un cadru 
de referinţă al procesului IT care asigură transparenţa şi controlul, precum şi implicarea atât de la nivel 
executiv cât şi general. Un comitet/comisie responsabil(ă) cu strategia asigură supravegherea comitetului 
IT şi a unuia sau mai multor comitete directoare, în care reprezentanţi ai companiei şi persoane din 
departamentul IT determină ierarhizarea resurselor IT în conformitate cu nevoile organizaţiei. Pentru toate 
funcţiile există procese, politici administrative şi proceduri, acordându-se atenţie deosebită controlului, 
asigurării calităţii, managementului riscului, securităţii informaţiilor, identificării responsabililor datelor şi 
sistemelor şi separării funcţiilor incompatibile. Pentru asigurarea suportului şi susţinerii cerințelor eco- 
nomice, funcţia IT trebuie să fie implicată în procesele decizionale relevante. 


Obiective de control 
PO4.1 Cadrul de referinţă al proceselor IT 
PO4.2 Comitetul responsabil cu strategia IT 
PO4.3 Comitetul director IT 
PO4.4 Poziționarea organizaţională a funcţiei IT 
PO4.5 Structura organizatorică IT 
PO4.6 Stabilirea rolurilor şi responsabilitatilor 
PO4.7 Responsabilitatea pentru asigurarea calităţii in IT 
PO4.8 Responsabilitatea pentru risc, securitate şi conformitate 
PO4.9 Responsabilitatea cu privire la date şi sistem 
PO4.10 Supervizarea 
PO4.11 Separarea funcţiilor 
PO4.12 Personalul IT 
PO4.13 Personalul IT critic 
PO4.14 Politicile şi procedurile personalului contractual 
PO4.15 Relaţiile 
Pag. 50 din 214 


PROCESUL PO5 - Managementul investiţiilor IT 


Este stabilit şi întreţinut un cadru de referinţă pentru managementul programelor de investiţii IT, cadru ce 
înglobează costuri, beneficii, priorităţile în cadrul bugetului, un proces formal de bugetare oficial şi de 
administrare conform bugetului. Beneficiarii sunt consultaţi cu scopul de a identifica şi controla costurile 
totale şi beneficiile în contextul planurilor strategice şi tactice IT şi de a initia acţiunile de corecție acolo 
unde este nevoie. Procesul stimulează parteneriatul între beneficiarii IT şi cei din zona economică, per- 
mitand folosirea resurselor IT in mod efectiv şi eficient; furnizează transparenţă şi responsabilitate cu 
privire la costul total de utilizare (Total Cost of Ownership), la realizarea beneficiilor economice şi rata de 
recuperare a investiţiilor IT (ROI). 


Obiective de control 

PO5.1 Cadrul de referință pentru managementul financiar 
PO5.2 Stabilirea prioritatilor în cadrul bugetului IT 

PO5.3 Finanţarea IT 

PO5.4 Managementul costurilor 

PO5.5 Managementul beneficiilor 


PROCESUL PO6 - Comunicarea intentiilor şi obiectivelor conducerii 


Conducerea dezvoltă un cadru de referință al controlului IT la nivelul întregii organizaţii, defineşte şi 
comunică politicile. Este pus în aplicare un program de comunicare cu scopul de a articula misiunea, 
obiectivele serviciilor, politicile şi procedurile etc., aprobate şi susţinute de către conducere. Comunicarea 
sprijină realizarea obiectivelor IT şi asigură gradul de conştientizare şi de înțelegere a riscurilor afacerii şi 
a riscurilor ce decurg din IT, a obiectivelor şi intentiilor. Procesul asigură conformitatea cu legile şi regle- 
mentările relevante. 


Obiective de control 

PO6.1 Politica IT şi mediul de control 

PO6.2 Riscul IT şi cadrul de referinţă al controlului 
PO6.3 Managementul politicilor IT 

PO6.4 Iniţierea politicii, standardelor şi procedurilor 
PO6.5 Comunicarea obiectivelor şi intentillor IT 


PROCESUL PO7 - Managementul resurselor umane IT 


Resursele umane cu competenţă ridicată se constituie şi se menţin pentru crearea şi livrarea serviciilor IT 
în cadrul organizaţiei (afacerii). Acest lucru este realizat prin respectarea unor practici definite şi agreate 
care sprijină recrutarea, instruirea, evaluarea performatelor, promovarea şi rezilierea contractului de 
muncă. Acest proces este critic, deoarece oamenii reprezintă active importante, iar guvernarea şi mediul 
controlului intern sunt puternic dependente de motivaţia şi competenţa personalului. 


Obiective de control 

PO7.1 Recrutarea si retentia personalului 

PO7.2 Competentele personalului 

PO7.3 Acoperirea rolurilor din punct de vedere al personalului 

PO7.4 Instruirea personalului 

PO7.5 Dependenţa de individualitati 

PO7.6 Proceduri pentru autorizarea personalului 

PO7.7 Evaluarea performanţelor angajaţilor 

PO7.8 Schimbarea locului de muncă şi rezilierea contractului de muncă 
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PROCESUL PO8 - Managementul calităţii 


Este dezvoltat şi întreţinut un Sistem de Management al Calităţii (SMC), incluzând procese şi standarde 
validate de dezvoltare şi achiziţie a sistemelor informatice. Acest lucru este posibil cu ajutorul planificării, 
implementării şi menţinerii Sistemului de Management al Calităţii, prin furnizarea de cerinţe clare de 
calitate, proceduri şi politici. Cerinţele de calitate sunt formulate şi transpuse în indicatori cuantificabili şi 
realizabili. Îmbunătăţirea continuă se realizează prin monitorizare permanentă, analiză şi măsurarea 
abaterilor şi comunicarea rezultatelor către beneficiari. Managementul calităţii este esenţial pentru a 
asigura că funcţia IT oferă valoare afacerii, îmbunătăţire continuă şi transparenţă pentru beneficiari. 


Obiective de control 

PO8.1 Sistemul de Management al Calităţii 

PO8.2 Standarde şi practici de calitate IT 

PO8.3 Standarde de dezvoltare şi achiziţie 

PO8.4 Orientare spre client 

PO8.5 Îmbunătăţire continuă 

PO8.6 Măsurarea, monitorizarea şi revizuirea calităţii 


PROCESUL PO9 - Estimarea şi managementul riscurilor IT 


Este creat şi întreţinut un cadru de referinţă pentru managementul riscurilor. Acest cadru documentează 
un nivel comun şi convenit al riscurilor IT, precum şi strategiile de reducere a riscurilor şi de tratare a 
riscurilor reziduale. Orice impact potenţial asupra obiectivelor organizaţiei, cauzat de un eveniment 
neprevăzut, este identificat, analizat şi evaluat. Strategiile de reducere a riscurilor sunt adoptate pentru a 
minimiza riscurile reziduale la un nivel acceptat. Rezultatul evaluării este uşor de înţeles de către acţionari 
şi exprimat în termeni financiari, pentru a permite acţionarilor să alinieze riscul la un nivel de toleranţă 
acceptabil. 


Obiective de control 

PO9.1 Cadrul de referință pentru managementul riscurilor IT 

PO9.2 Stabilirea contextului riscului 

PO9.3 Identificarea evenimentului 

PO9.4 Estimarea riscurilor 

PO9.5 Reacţia fata de risc 

PO9.6 Întreţinerea şi monitorizarea unui plan de acţiune împotriva riscului 


PROCESUL PO10 - Administrarea proiectelor 


Pentru toate proiectele IT este stabilit un program şi un cadru de referință pentru managementul pro- 
iectelor. Acest cadru garantează o ierarhizare corectă şi o bună coordonare a proiectelor. Cadrul de 
referință include un plan general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea 
conform fazelor proiectului, AC (asigurarea calităţii), un plan formal de testare, revizia testării şi revizia 
post-implementării cu scopul de a asigura managementul riscurilor proiectului şi furnizarea de valoare 
pentru organizaţie. Această abodare reduce riscul apariţiei unor costuri neaşteptate şi anularea pro- 
iectelor, îmbunătăţeşte comunicarea şi colaborarea dintre organizaţie şi utilizatorii finali, asigură valoarea 
şi calitatea livrabilelor proiectului, şi maximizează contribuţia lor în programele de investiţii IT. 


Obiective de control 

PO10.1 Cadrul de referință pentru managementul programelor 
PO10.2 Cadrul de referință pentru managementul proiectelor 
PO10.3 Abordarea managementului proiectelor 

PO10.4 Implicarea beneficiarilor 
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PO10.5 Stabilirea scopului proiectului 

PO10.6 Iniţierea fazelor proiectului 

PO10.7 Planul integrat al proiectului 

P010.8 Resursele proiectului 

PO10.9 Managementul riscurilor proiectului 

PO10.10 Planul calităţii proiectului 

PO10.11 Controlul schimbărilor în cadrul proiectului 

PO10.12 Metode de planificare a asigurării 

PO10.13 Monitorizarea, raportarea şi indicatorii de performanță ai proiectului 
PO10.14 Finalizarea proiectului 


DOMENIUL Al (Acquire & Implement) 


PROCESUL Al1 - Identificarea soluţiilor automate 


Nevoia unor aplicaţii sau funcţii noi necesită analiză înainte de achiziţie sau dezoltare, pentru a garanta că 
cerinţele afacerii sunt îndeplinite într-o manieră eficientă şi eficace. Acest proces acoperă definirea 
necesităţii, considerarea surselor alternative, analiza fezabilitatii tehnologice şi economice, efectuarea 
analizei riscului, analizei cost-beneficiu şi adoptarea unei decizii finale de a „realiza” sau a „cumpăra”. Toţi 
aceşti paşi permit organizaţiilor să minimizeze costurile de achiziţie şi implementare a soluţiilor, în acelaşi 
timp asigurându-se că permit proceselor de afaceri să îşi atingă obiectivele. 


Obiective de control 

Al1.1 Definirea şi întreţinerea cerinţelor funcţionale economice şi a cerințelor tehnice 
Al1.2 Raportul analizei de risc 

Al1.3 Studiul de fezabilitate şi formularea de direcţii alternative de acţiune 

Al1.4 Decizia şi aprobarea cerinţelor şi a studiului de fezabilitate 


PROCESUL Al2 - Achiziţia şi întreţinerea aplicaţiilor software 


Aplicațiile sunt puse la dispoziţie în conformitate cu cerinţele afacerii. Acest proces ia în considerare arhi- 
tectura aplicaţiilor, includerea corectă a cerinţelor de control şi securitate ale aplicaţiei precum şi dezvol- 
tarea şi configurarea în conformitate cu standardele. Acest proces permite organizaţiilor să susţină în mod 
corespunzător operațiunile economice cu ajutorul aplicaţiilor automatizate potrivite. 


Obiective de control 

Al.2.1 Proiectarea de nivel înalt 

Al.2.2 Proiectarea detaliată 

Al.2.3 Controlul şi auditabilitatea aplicaţiilor 
Al.2.4 Securitatea şi disponibilitatea aplicaţiilor 
Al.2.5 Configurarea şi implementarea aplicaţiilor software achiziţionate 
Al.2.6 Actualizări majore ale sistemelor existente 
Al.2.7 Dezvoltarea aplicaţiilor software 

Al.2.8 Asigurarea calităţii software 

Al.2.9 Managementul cerinţelor aplicaţiilor 
Al.2.10 intretinerea aplicaţiilor software 
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PROCESUL AI3 - Achiziţia şi întreţinerea infrastructurii tehnologice 


Organizațiile au procese pentru achiziţia, implementarea şi actualizarea infrastructurii tehnologice. 
Aceasta necesită o abordare planificată pentru achiziţia, întreţinerea şi protecţia infrastructurii, în 
conformitate cu strategiile tehnologice agreate şi pregătirea mediilor de dezvoltare şi testare. Acest 
proces asigură existenţa unui suport tehnic continuu pentru aplicaţiile economice. 


Obiective de control 

Al3.1 Planul de achiziţie a infrastructurii tehnologice 
Al3.2 Protecţia şi disponibilitatea resurselor infrastructurii 
AI3.3 Întreţinerea infrastructurii 

AI3.4 Mediul de testare a fezabilitatii 


PROCESUL Al4 - Autorizarea operării şi utilizării 


Sunt disponibile cunostinte despre noile sisteme. Acest proces cere elaborarea de documentatii şi 
manuale pentru utilizatori şi pentru personalul IT şi oferă pregătire profesională pentru a asigura utilizarea 
corectă şi funcţionarea aplicaţiilor şi a infrastructurii. 


Obiective de control 

Al4.1 Planificarea soluţiilor operaţionale 

Al4.2 Transferul cunoştinţelor către managementul afacerii 

Al4.3 Transferul cunoştinţelor către utilizatorii finali 

Al4.4 Transferul cunoştinţelor către personalul care operează şi cel care oferă suport 


PROCESUL Al5 - Procurarea resurselor 


Resursele IT, incluzând personal, echipamente hardware, software şi servicii, trebuie să fie achiziţionate. 
Acest lucru necesită definirea şi punerea în aplicare a procedurilor de achiziţii, selectarea distribuitorilor, 
configurarea aranjamentelor contractuale, precum şi achiziţia în sine. Se asigură astfel obţinerea de către 
organizaţie a tuturor resursele IT într-un timp util şi în mod eficient. 


Obiective de control 

Al5.1 Controlul achiziţiilor 

Al5.2 Managementul contractelor cu furnizorii 
Al5.3 Selectarea furnizorilor 

Al5.4 Achiziţionarea resurselor 


PROCESUL AI6 - Managementul schimbărilor 


Toate schimbările, incluzând cele de întreţinere urgentă şi pachetele, referitoare la infrastructura şi 
aplicaţiile din mediul de producţie sunt administrate formal şi într-o manieră controlată. Schimbările 
(inclusiv acelea ale procedurilor, proceselor, sistemelor şi parametrilor de servicii) sunt înregistrate, 
evaluate şi autorizate înainte de implementare şi revizuite în comparaţie cu rezultatul aşteptat după 
implementare. Aceasta asigură reducerea riscurilor care afectează stabilitatea şi integritatea mediului de 
producţie. 


Obiective de control 

Al6.1 Standardele şi procedurile pentru schimbare 

AI6.2 Evaluarea impactului, stabilirea prioritatilor şi autorizarea 
AI6.3 Schimbările urgente 

Al6.4 Urmărirea şi raportarea stării schimbării 

AI6.5 Finalizarea schimbării şi documentarea 
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PROCESUL AI’ - Instalarea şi acreditarea soluţiilor şi schimbărilor 


Noile sisteme trebuie să devină operaţionale odată ce dezvoltarea lor este completă. De aceea, sunt 
necesare următoarele: testare adecvată într-un mediu dedicat, cu date de test relevante; definirea 
instrucţiunilor de distribuţie şi migrare; planificarea pachetelor de distribuţie şi promovarea în producţie, 
precum şi o revizuire post-implementare. Astfel se asigură că sistemele operaţionale răspund aşteptărilor 
şi rezultatelor agreate. 


Obiective de control 

Al7.1 Instruire 

Al7.2 Planul de testare 

Al7.3 Planul de implementare 

Al7.4 Mediul de test 

Al7.5 Conversia sistemului şi a datelor 
Al7.6 Testarea schimbărilor 

Al7.7 Testul final de acceptare 

Al7.8 Promovarea în producţie 

Al7.9 Revizia post-implementare 


DOMENIUL DS (Deliver & Support) 


PROCESUL DS1 - Definirea şi administrarea nivelurilor serviciilor 


Comunicarea eficientă între managementul IT şi clienţii organizaţiei în ceea ce priveşte serviciile solicitate 
este asigurată printr-o definire documentată a unui acord legat de serviciile IT şi nivelurile acestor servicii. 
Acest proces include, de asemenea, monitorizarea şi raportarea în timp util către beneficiari cu privire la 
realizarea nivelurilor serviciilor. Acest proces permite alinierea serviciilor IT la cerinţele afacerii. 


Obiective de control 

DS1.1 Cadrul de referinţă pentru Managementul Nivelului Serviciilor 
DS1.2 Definirea serviciilor 

DS1.3 Acorduri privind nivelurile serviciilor 

DS1.4 Acordurile Operationale pentru nivelul serviciilor 

DS1.5 Monitorizarea şi raportarea privind realizarea nivelului serviciului 
DS1.6 Revizia contractelor şi a acordurilor privind nivelul serviciilor 


PROCESUL DS2 - Managementul serviciilor de la terţi 


Nevoia de siguranţă că serviciile de la terţi (furnizori, vânzători şi parteneri) satisfac cerinţele afacerii 
implică un proces efectiv de management al părţii terte. Acest proces este realizat prin definirea clara a 
rolurilor, reponsabilitatilor şi aşteptărilor în acordurile cu părţile terțe, precum si prin revizuirea si 
monitorizarea acestor acorduri in vedera asigurării eficacitatii şi conformităţii. Managementul efectiv al 
serviciilor de la terţi minimizeaza riscul afacerii asociat furnizorilor neperformanti. 


Obiective de control 

DS2.1 Identificarea relaţiilor cu toţi furnizorii 
DS2.2 Managementul relaţiilor cu furnizorii 
DS2.3 Managementul riscului asociat furnizorilor 
DS2.4 Monitorizarea performanţei furnizorului 
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PROCESUL DS3 - Managementul performanţei şi capacităţii 


Nevoia de a gestiona performanţa şi capacitatea resurselor IT necesită un proces de revizuire periodică a 
performanţei actuale şi a capacităţii resurselor IT. Acest proces include previziunea nevoilor viitoare 
bazate pe volumul de prelucrare, stocare şi cerințele de urgenţă. Acest proces oferă siguranţa că 
resursele informaţionale care susţin cerinţele afacerii sunt disponibile continuu. 


Obiective de control 

DS3.1 Planificarea performanţei şi capacităţii 
DS3.2 Performanţa şi capacitatea actuală 
DS3.3 Performanţa şi capacitatea viitoare 
DS3.4 Disponibilitatea resurselor IT 

DS3.5 Monitorizare şi raportare 


PROCESUL DS4 - Asigurarea continuității serviciilor 


Nevoia asigurării continuității serviciilor IT necesită dezvoltarea, menţinerea şi testarea planurilor de 
continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de backup şi oferirea unui plan de 
instruire continuu. Un proces eficient de asigurare a continuității serviciilor reduce probabilitatea şi 
impactul unei întreruperi majore a serviciilor IT asupra functiilor şi proceselor cheie ale afacerii. 


Obiective de control 

DS4.1 Cadrul de referință pentru continuitatea IT 
DS4.2 Planurile de continuitate IT 

DS4.3 Resursele IT critice 

DS4.4 intretinerea planului de continuitate IT 
DS4.5 Testarea Planului de continuitate IT 
DS4.6 Instruirea privind planul de continuitate IT 
DS4.7 Distribuirea planului de continuitate IT 
DS4.8 Recuperarea şi reluarea serviciilor IT 
DS4.9 Stocarea externă a copiilor de siguranță 
DS4.10 Revizia post-reluare 


PROCESUL DS5 - Asigurarea securităţii sistemului 


Nevoia de menţinere a integrităţii informaţiilor şi protejarea bunurilor IT necesita un proces de mana- 
gement al securităţii. Acest proces include stabilirea şi menţinerea rolurilor de securitate IT şi a 
responsabilitatilor, politicilor, standardelor şi procedurilor. Gestionarea securităţii mai include şi efectuarea 
monitorizărilor periodice de securitate, testarea periodică şi implementarea acţiunilor corective pentru 
identificarea punctelor slabe în securitate şi a incidentelor. Gestionarea eficientă a securităţii protejează 
toate bunurile IT pentru minimizarea impactului vulnerabilitatilor asupra afacerii. 


Obiective de control 

DS5.1 Managementul securităţii IT 

DS5.2 Planul de securitate IT 

DS5.3 Managementul identității 

DS5.4 Managementul conturilor utilizatorilor 

DS5.5 Testarea securităţii, inspecția şi monitorizarea 
DS5.6 Definirea incidentelor de securitate 

DS5.7 Protecţia tehnologiei de securitate 

DS5.8 Managementul cheilor criptografice 

DS5.9 Prevenirea, detectarea şi neutralizarea software-ului rau-intentionat 
DS5.10 Securitatea rețelei 

DS5.11 Schimbul datelor sensibile 
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PROCESUL DS6 - Identificarea şi alocarea costurilor 


Nevoia de a avea un sistem just şi echitabil de alocare a costurilor IT în bugetul organizaţiei necesită o 
măsurare cât mai exactă a acestora dar şi o colaborare permanentă cu personalul IT pentru a le distribui 
cât mai judicios. Procesul include construirea şi utilizarea unui sistem care să identifice, să aloce şi să 
raporteze costurile IT către utilizatorii de servicii. Un sistem just de alocare permite managementului să ia 
decizii mai bine întemeiate cu privire la utilizarea serviciilor IT. 


Obiective de control 

DS6.1 Definirea serviciilor 

DS6.2 Contabilitatea IT 

DS6.3 Modelul costurilor şi taxarea 
DS6.4 Mentenanta modelului costurilor 


PROCESUL DS7 - Educarea şi instruirea utilizatorilor 


Educarea eficientă a tuturor utilizatorilor, incluzând pe cei din departamentul IT, necesită identificarea 
nevoilor de învăţare a fiecărui grup de utilizatori. În afara definirii nevoilor, procesul ar trebui să includă 
definirea şi implementarea unei strategii de creare a unor programe de învăţare eficiente cu rezultate 
cuantificabile. Un program de instruire eficient duce la eficientizarea folosirii tehnologiei prin reducerea 
erorilor cauzate de utilizatori, crescând productivitatea şi conformitatea cu controalele cheie, cum ar fi 
măsurile de securitate. 


Obiective de control 

DS7.1 Identificarea nevoilor de educare şi instruire 
DS7.2 Realizarea sesiunilor de instruire şi educare 
DS7.3 Evaluarea instruirii 


PROCESUL DS8 - Coordonarea Help Desk şi a incidentelor 


Pentru a răspunde la timp şi eficient cerinţelor utilizatorilor din IT este nevoie de un proces bine structurat 
de management al incidentelor şi de suport tehnic. Acest proces include stabilirea unei funcțiuni de 
Service Desk pentru înregistrarea incidentelor, analiza tendinței şi cauzelor problemelor, precum si pentru 
rezolvarea lor. Beneficiile obţinute includ creşterea productivităţii prin rezolvarea mai rapidă a cerinţelor 
utilizatorilor. Mai mult, se pot evidenția cauzele problemelor (cum ar fi lipsa de instruire) printr-o raportare 
eficientă. 


Obiective de control 

DS8.1 Service Desk 

DS8.2 Înregistrarea cerințelor clienţilor 
DS8.3 Înregistrarea incidentelor 

DS8.4 Închiderea unui incident 

DS8.5 Raportarea si analiza tendintelor 


PROCESUL DS9 - Managementul configuratiei 


Asigurarea integrităţii configuraţiilor hardware şi software presupune constituirea şi întreţinerea unei baze 
de date a configuraţiilor corectă şi completă. Acest proces include colectarea informaţiilor iniţiale ale 
configurației, stabilirea liniilor de bază, verificarea şi auditarea informaţiilor de configurare şi actualizarea 
bazei de date a configuraţiilor atunci când este nevoie. Gestionarea efectivă a configuratiilor facilitează o 
disponibilitate mai mare a sistemului, minimizează dificultăţile ce ţin de producţie si rezolvă problemele 
mai operativ. 
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Obiective de control 

DS9.1 Baza de date a configurației şi liniile de bază 
DS9.2 Identificarea şi întreţinerea articolelor de configurat 
DS9.3 Revizia integrităţii configurației 


PROCESUL DS10 - Managementul problemelor 


Managementul eficace al problemelor cere identificarea şi clasificarea problemelor, analiza cauzelor 
primare şi a soluţiilor propuse pentru acestea. Procesul de management al problemelor include de 
asemenea formularea recomandărilor pentru îmbunătăţire, păstrarea inregistrărilor cu privire la probleme 
şi analiza stării acţiunilor corective. Un management eficace al problemelor maximizează disponibilitatea 
sistemului, îmbunătăţeşte nivelul serviciilor, reduce costurile şi sporeşte confortul şi satisfacția clienţilor. 


Obiective de control 

DS10.1 Identificarea şi clasificarea problemelor 

DS10.2 Urmărirea şi rezolvarea problemelor 

DS10.3 Închiderea problemei 

DS10.4 Integrarea managementului configurației, incidentelor şi al problemelor 


PROCESUL DS11 - Managementul datelor 


Managementul eficient al datelor presupune identificarea cerinţelor de date. Procesul de management al 
datelor include de asemenea stabilirea procedurilor eficiente pentru a gestiona colecţiile de date, copiile 
de siguranta/backup şi recuperarea datelor precum şi distribuirea eficientă a acestora pe suporturile de 
informaţii. Un management eficient al datelor ajută la asigurarea calităţii, aranjării cronologice şi 
disponibilitatii datelor. 


Obiective de control 

DS11.1 Cerinţele afacerii pentru managementul datelor 
DS11.2 Aranjamente privind depozitarea şi păstrarea 
DS11.3 Sistemul de management al bibliotecii media 
DS11.4 Eliminarea 

DS11.5 Copie de siguranţă şi restaurare 

DS11.6 Cerinţe de securitate pentru managementul datelor 


PROCESUL DS12 - Managementul mediului fizic 


Protecţia echipamentelor electronice şi a personalului necesită o bună concepere şi o bună gestionare a 
facilitatilor fizice. Procesul de management al mediului fizic include definirea cerinţelor fizice ale amplasa- 
mentului, selectarea mijloacelor adecvate şi proiectarea proceselor eficiente pentru monitorizarea 
factorilor de mediu şi gestionarea accesului fizic. Managementul eficient al mediului fizic reduce întreru- 
perile proceselor economice cauzate de deteriorarea echipamentelor informatice şi a personalului. 


Obiective de control 

DS12.1 Selectarea şi proiectarea amplasamentului 
DS12.2 Măsuri de securitate fizică 

DS12.3 Accesul fizic 

DS12.4 Protecţia împotriva factorilor de mediu 
DS12.5 Managementul facilitatilor fizice 
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PROCESUL DS13 - Managementul operaţiunilor 


Procesarea completă şi exactă a datelor necesită un management eficient al procedurilor de prelucrare a 
datelor şi o întreţinere temeinică a hardware-ului. Acest proces include definirea politicilor de operare şi a 
procedurilor pentru gestionarea eficientă a prelucrărilor programate, protejând datele de ieşire sensibile, 
monitorizând performanţa infrastructurii şi asigurând întreţinerea preventivă a hardware-ului. Gestionarea 
eficientă a operaţiunilor ajută la menţinerea integrităţii datelor şi reduce întârzierile şi costurile de 
exploatare IT. 


Obiective de control 

DS13.1 Proceduri şi instrucţiuni operaţionale 

DS13.2 Planificarea muncii 

DS13.3 Monitorizarea infrastructurii IT 

DS13.4 Documente sensibile şi dispozitive de ieşire 

DS13.5 Întreţinere preventivă pentru componentele hardware 


DOMENIUL ME (Monitor & Evaluate) 


PROCESUL ME1 - Monitorizarea şi evaluarea performanţei IT 


Managementul eficace al performanţei IT necesită un proces de monitorizare. Acest proces include 
definirea unor indicatori de performanţă relevanti, raportări sistematice cu privire la performanţă şi actio- 
narea promptă în cazul abaterilor. Monitorizarea este necesară pentru a asigura că procesele 
funcţionează corect şi sunt în conformitate cu setul de direcţii şi politici. 


Obiective de control 

ME1.1 Abordarea monitorizării 

ME1.2 Definirea şi colectarea datelor monitorizate 

ME1.3 Metoda de monitorizare 

ME1.4 Evaluarea performanţei 

ME1.5 Raportarea la nivelul Comitetelor şi la nivel executiv 
ME1.6 Acţiuni de remediere 


PROCESUL ME2 - Monitorizarea şi evaluarea controlului intern 


Stabilirea unui program eficient de control intern pentru IT necesită un proces de monitorizare bine definit. 
Acest proces include monitorizarea şi raportarea excepțiilor de la control, rezultatele auto-evaluării şi 
reviziile unor terţe părţi. Un beneficiu-cheie al monitorizării controlului intern este oferirea unei asigurări în 
ceea ce priveşte eficiența şi eficacitatea operaţiunilor şi conformitatea cu legile şi reglementările 
aplicabile. 


Obiective de control 

ME2.1 Monitorizarea cadrului general al controlului intern 
ME2.2 Revizia de supraveghere 

ME2.3 Exceptii de la control 

ME2.4 Auto-evaluarea controlului 

ME2.5 Asigurarea controlului intern 

ME2.6 Controlul intern la terțe parti 

ME2.7 Acţiuni de remediere 


PROCESUL ME3 - Asigurarea conformităţii cu cerinţele externe 


Supravegherea eficientă a conformităţii impune stabilirea unui proces de revizuire pentru a se asigura 
concordanța cu legile, regulamentele şi cerinţele contractuale. Acest proces include identificarea 
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cerinţelor de conformitate, optimizarea şi evaluarea răspunsului, obţinerea asigurării că cerinţele au fost 
respectate, precum şi integrarea conformităţii IT raportată la restul afacerii. 


Obiective de control 

ME3.1 Identificarea cerințelor de conformitate externă, legală, contractuală sau de reglementare 
ME3.2 Optimizarea răspunsului la cerinţele externe 

ME3.3 Evaluarea conformităţii cu cerințele externe 

ME3.4 Asigurarea conformităţii 

ME3.5 Raportare integrată 


PROCESUL ME4 - Furnizarea guvernării IT 


Instituirea unui cadru de guvernare eficientă include definirea structurii organizaționale, a proceselor, con- 
ducerea, rolurile şi responsabilitatile pentru a se asigura că investiţiile IT ale intreprinderii sunt aliniate si 
livrate în conformitate cu strategiile şi obiectivele întreprinderii. 


Obiective de control 

ME4.1 Stabilirea cadrului de guvernare IT 
ME4.2 Alinierea strategică 

ME4.3 Furnizarea valorii 

ME4.4 Managementul resurselor 

ME4.5 Managementul riscurilor 

ME4.6 Măsurarea performanţei 

ME4.7 Asigurarea independentă 


2.9 Cadrul de lucru Val IT 


Cadrul de lucru COBIT stabileşte cele mai bune practici referitoare la mijloacele care contribuie la pro- 
cesul de creare a valorii adăugate. 


Val IT vine să adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de măsurare 
fara ambiguitati, cu ajutorul căruia se monitorizează şi se optimizează realizarea de valoare adăugată 
pentru afaceress, prin investiţii în IT. Val IT complementează COBIT din perspectiva afacerii şi din per- 
spectiva financiară şi contribuie la obţinerea unei creşteri de valoare prin utilizarea tehnologiei informaţiei. 
Val IT este un cadru de administrare care constă dintr-un set de principii directoare şi o serie de procese 
conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere. 


Cadrul Val IT aliniază terminologia sa cu terminologia COBIT şi adaugă o secţiune de linii directoare 
(similar cu COBIT), care oferă un nivel mai mare de detaliu proceselor cheie Val IT şi practicilor de 
management. Conţine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT. 


Necesitatea unei guvernări puternice a investiţiilor IT este evidentă, avind în vedere că mai mult de 2 din 
10 proiecte IT din cadrul unei organizaţii eşuează dintr-un număr de motive, printre cele mai comune fiind: 
e Investiţiile IT nu susţin strategia afacerii sau nu furnizează o valoare aşteptată; 
e Există proiecte prea multe, ceea ce duce la utilizarea ineficientă resurselor; 
e Proiectele sunt adesea întârziate, depăşesc bugetul şi/sau nu produc beneficiile necesare; 
e Există incapacitatea de a anula proiecte atunci când este necesar; 
e Organizaţia are nevoie de resurse pentru a asigura conformitatea cu reglementările industriei sau 
guvernamentale. 


55 Referințele la “afacere” în acest standard internaţional trebuie interpretate în sens larg pentru a se referi la acele activităţi 
care sunt esenţiale scopului pentru care este înființată organizaţia. 
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Scopul investiţiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate 
pe IT, investiţiile IT trebuie să fie reglementate. 


Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul în care să se 
investească in IT pentru a permite schimbarea afacerii, creşterea rentabilitatii investiţiilor şi pentru a 
genera valoare adăugată, afacerii. 

Val IT este un cadru care se concentrează pe livrare de valoare, unul dintre cele cinci domenii principale 
ale guvernării IT, şi oferă asigurarea că investiţiile IT sunt gestionate pe ciclul complet al vieţii economice. 
Prin aplicarea principiilor de management al portofoliului se pot evalua şi monitoriza direct, investiţiile în IT 
pe întreg ciclul de viaţă economică al acestora. 


2.9.1 Obiectivul şi necesitatea cadrului de lucru Val IT 


Obiectivul cadrului de lucru Val IT (care include cercetări, documentatii şi servicii suport) este de a ajuta 
managementul să se asigure că organizaţia realizează o valoare optimă din investiţiile şi activităţile 
bazate pe IT la un cost acceptabil şi cu un nivel cunoscut şi acceptabil de risc. 


Cadrul de lucre Val IT furnizează linii directoare, procese şi practici care permit înţelegerea şi îndeplinirea 
rolului investiţiilor IT. Pentru auditori, Val IT constituie referentialul la care se raportează când evaluează 
investițiile IT. 


În ultimii ani, nivelul investiţiilor în IT este semnificativ şi continuă să crească. Sunt puţine organizaţii care 
mai pot opera astăzi, fără o infrastructură IT proprie. 

În acest context, este o cerere din ce în ce mai mare din partea conducerii organizaţiilor în ceea ce 
priveşte accesul la cele mai bune practice şi la linii directoare care să ghideze procesul decizional referitor 
la obţinerea beneficiilor pe baza investiţiilor în IT. Fără o guvernare efectivă şi un bun management, 
investiţiile IT pot genera, într-o măsură semnificativă, oportunitatea de a distruge valoarea. 


În ultimii ani, sondajele au arătat constant că între 20-70 % din investiţiile IT pe scară largă sunt irosite, 
contestate sau nu reuşesc să aducă un venit în organizaţie. De fapt, un studiu privind evaluarea costurilor 
şi a valorii a constatat că, în multe întreprinderi, mai puţin de 8% din bugetul IT este, de fapt, cheltuit pe 
iniţiative care să creeze valoare pentru organizaţie. 


* Un studiu Gartner din anul 2002 a constatat că 20% din toate cheltuielile aferente investiţiilor IT 
au fost risipite, constatare care reprezintă, pe o bază globală, o distrugere anuală a valorii, în total 
de aproximativ 600 miliarde dolari. 

e Un studiu realizat de IBM în 2004 a constatat că, în medie, 40% din totalul cheltuielilor IT nu au 
adus nici un venit organizaţiilor. 

* Un studiu din 2006 realizat de Grupul Standish a constatat că doar 35% din totalul proiectelor IT 
s-au finalizat cu succes, in timp ce restul (65%) au fost fie contestate sau au eşuat.56 


În mod evident, investiţiile în IT pot aduce beneficii substanţiale. Un studiu efectuat la nivel mondial in 
cadrul grupului de servicii financiare ING, arată că investiţiile IT ar oferi oportunitatea de a furniza rate de 
rentabilitate mai mari decât aproape orice alte investiţii convenţionale. Acest studiu, efectuat la mijlocul 
anului 2004, indică faptul că, în comparaţie cu afacerile imobiliare comerciale sau cu acţiunile cotate la 
bursă, un portofoliu de investiţii IT bine echilibrat poate genera un venit semnificativ mai mare. 

Luate împreună, aceste exemple subliniază o întrebare strategică: „Ce trebuie făcut pentru a ne asigura 
că IT asigură rezultate pozitive sau poate chiar de transformare a valorii afacerii?”. 


56 Sursa: ITGI, Val IT Framework 2.0 
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Definiţie: Cadrul de lucru Val IT este un cadru global şi pragmatic de organizare care permite crearea de 
valoare în cadrul organizației pe baza investiţiilor în tehnologia informaţiei. Conceput pentru a se alinia la 
cadrul COBITsi pentru a-l completa, Val IT integreaza un set de principii de guvernare practice si 
verificate, procese, practici şi linii directoare care susţin această platformă, oferă suport managementului 
executiv şi altor lideri pentru a optimiza obţinerea de valoare din investiţiile IT. 


Folosite cu succes considerabil de mulţi ani de conducerea organizaţiilor, procesele şi practicile incluse în 
Val IT sunt prezentate, pentru prima dată, ca un cadru unic de guvernanta integrată care oferă factorilor 
de decizie o abordare cuprinzătoare, consecventă, coerentă şi contribuie la crearea de valoare prin efecte 
concrete şi măsurabile. 


Cu sprijinul unui grup de experţi în domeniul guvernării informaţiei, în control, securitate şi audit, 
recunoscuţi pe plan international, ITGIS7 a acordat o mare atenţie proiectării acestui cadru pentru a se 
asigura că integrarea Val IT cu COBIT va oferi un cadru cuprinzător pentru crearea şi livrarea de valoare 
de înaltă calitate a serviciilor bazate pe IT. Pe de o parte, cadrul de lucru Val IT completează cadrul de 
lucru COBIT, iar pe de altă parte este susţinut de acesta. 


Înțelegerea relaţiei dintre aceste două cadre este vitală. Val IT are în vedere guvernarea întreprinderii. Ca 
un cadru cuprinzător pentru proiectarea si livrarea serviciilor bazate pe IT de înaltă calitate, COBIT 
stabileşte seturi de bune practici pentru funcţia IT, care contribuie la procesul de creare de valoare. Val IT 
furnizează seturi de bune practici referitoare la rezultatele obţinute pe baza investiţiilor IT, permiţând astfel 
întreprinderilor măsurarea, monitorizarea şi optimizarea valorii, atât financiare, cât şi non-financiare. 
Coerenta între metodele şi terminologia utilizate în cadrele de lucru Val IT şi COBIT îmbunătăţeşte comu- 
nicatia şi interacţiunile dintre factorii de decizie, funcţia de IT şi funcţiile de afaceri responsabile pentru 
livrarea valorii planificate. 


2.9.2 Aspecte legate de investiţiile IT din perspectiva cadrului Val IT 


Întrebările care se pun în legătură cu investiţiile IT se referă, în general, la următoarele aspecte: 


1. Aspecte strategice: Este investiţia în conformitate cu viziunea şi cu principiile afacerii? Contribuie 
aceasta la atingerea obiectivelor strategice? Este furnizată valoarea optimă, la un pret accesibil şi la un 
nivel acceptabil de risc? 

2. Aspecte legate de arhitectura de sistem: Este investiţia în conformitate cu arhitectura IT existentă? 
Este investiţia în conformitate cu principiile arhitecturale existente? Contribuie investiţia la popularea 
arhitecturii existente? Investiţia este în concordanță cu alte iniţiative? 

3. Aspecte legate de valoarea investiţiei: Există o înţelegere clară şi comună a beneficiilor aşteptate? 
Este stabilită o responsabilitate clară pentru realizarea beneficiilor? Sunt utilizate metrici relevante? A fost 
stabilit un proces eficient de realizare a beneficiilor pe întregul ciclu de viata economic al investiţiei? 

4. Aspecte legate de livrare: Se realizează o gestionare eficientă şi disciplinată a livrărilor şi a proceselor 
de schimbare? Sunt disponibile resurse competente tehnice şi de afaceri pentru a gestiona: facilităţile 
furnizate şi schimbările organizaționale necesare pentru a exploata capacităţile? 


2.9.3 Înțelegerea conceptului de „valoare” în sensul cadrului de 
lucru Val IT 


În cadrul de lucru Val IT, valoarea este definită ca totalul beneficiilor nete obţinute pe tot ciclul de viata, 
raportate la costurile aferente, adaptate la risc, şi (în cazul valorii financiare) pentru valoarea raportată la 
timp a banilor. 


57 Information Technology Governance Institute 
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Cu toate acestea, în multe cazuri, valoarea nu constituie rezultatul unei măsurări cantitative. Valoarea 
este complexă, dependentă de contextul specific şi dinamică. Valoarea este, în foarte multe cazuri, "in 
ochii privitorului”. Natura valorii este diferită pentru diferite tipuri de organizaţii. În timp ce zona comercială 
din organizaţie se concentrează, mult mai mult decât o făceau în trecut, pe valoarea de natură non- 
financiară, directorii au, în continuare, tendinţa de a vizualiza valoarea în primul rând din punct de vedere 
financiar, de multe ori pur şi simplu ca pe o creştere a profitului întreprinderii care rezultă din investiţii. 


Pentru sectorul public, sau pentru întreprinderile non-profit, valoarea este mult mai complexă, şi adesea, 
deşi nu întotdeauna, de natură non-financiară. Aceasta poate include obţinerea unor rezultate privind 
politicile publice, îmbunătăţirea cantităţii şi calităţii serviciilor oferite (de exemplu, cetățenilor pentru 
sectorul public) şi/sau creşterea netă a veniturilor oferite celor pentru care aceste servicii care rezultă din 
investiţii sunt disponibile. 


Conceptul de valoare se bazează pe relaţia dintre îndeplinirea aşteptărilor părţilor interesate şi resursele 
folosite pentru a atinge obiectivele. 

Părţile interesate pot avea opinii diferite despre ceea ce reprezintă o valoare. Scopul managementului 
valorii este de a optimiza valoarea prin reconcilierea acestor diferenţe, de a permite organizaţiei să 
definească clar şi să comunice punctul său de vedere privind semnificaţia valorii, să selecteze şi să 
execute investiţii, să gestioneze patrimoniul său şi să optimizeze valoarea printr-o utilizare a resurselor la 
preţuri accesibile şi un nivel acceptabil de risc. 


ITGI priveşte furnizarea valorii ca fiind unul dintre cele cinci domenii prioritare ale guvernării IT. În afară de 
valoarea livrată, celelalte patru domenii includ: alinierea strategică, managementul riscurilor, mana- 
gementul resurselor şi măsurarea performanţelor. Valoarea livrată depinde de focalizarea pe zonele în 
care aceasta necesită aliniere strategică, este permisă prin gestionarea riscurilor şi gestionarea resurselor 
şi, împreună cu alte zone, este monitorizată prin măsurarea performanţei. 


2.9.4 Beneficii obţinute prin utilizarea cadrului de lucru Val IT 


Entitatile care aplică principiile, procesele şi practicile cuprinse în cadrul de lucru Val IT pot realiza 
beneficii strategice şi pot să creeze niveluri ale valorii al afacerii reale semnificativ mai ridicate. La un nivel 
fundamental, acest cadru ajută factorii de decizie să crească înţelegerea naturii valorii şi a modului în care 
aceasta este creată; să câştige o transparenţă în ceea ce priveşte costurile, riscurile şi beneficiile, şi — ca 
o extindere a acestora — deciziile managementului să fie bazate mult mai mult pe informatie. 


Val IT ajută organizaţiile să crească probabilitatea de selecţie a investiţiilor cu cel mai mare potenţial în a 
crea valoare. Val IT, de asemenea, creşte probabilitatea de succes în executarea investiţiilor selectate, 
atât atunci când serviciile IT sunt create sau îmbunătăţite, cât şi ulterior livrării şi utilizării acestor servicii. 
Cadrul Val IT reduce costurile şi pierderea de valoare, asigurând că factorii de decizie rămân concentrați 
pe ceea ce ei ar trebui să facă şi să ia măsuri corective la timp cu privire la investiţiile care nu furnizează 
valoare în conformitate cu potenţialul aşteptat. În acelaşi timp, cadrul reduce riscul de eşec, în special pe 
cel cu impact mare şi eşec vizibil. De asemenea, cadrul reduce surprizele asociate cu costurile IT şi de 
livrare, şi, în acest sens, valoarea afacerii creşte, se reduc costurile inutile şi creşte nivelul general de 
încredere în IT. 


2.9.5 Concepte Val IT şi principiile cadrului de lucru Val IT 


Proiect - Un set structurat de activităţi care au ca scop furnizarea unei facilităţi definite organizației 
(acesta este necesar, dar nu suficient pentru a obţine rezultatele cerute ale afacerii), pe baza unui 
program şi a unui buget aprobate. 


Program - O grupare structurată de proiecte interdependente, care sunt atât necesare cât şi suficiente 
pentru a obţine un rezultat dorit şi pentru a crea valoare. Aceste proiecte ar putea implica, dar nu sunt 
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limitate la, modificări de natură ale afacerii, ale proceselor de afaceri, ale activităţii desfăşurate, precum şi 
ale competențelor necesare pentru a efectua lucrările, care să permită tehnologia şi structura orga- 
nizatorică. Programul de investiţii este unitatea primară de investiţii din Val IT. 


Portofoliu - Grupari de "obiecte de interes" (programe de investiţii, servicii IT, proiecte IT, alte bunuri IT 
sau alte resurse) gestionate şi monitorizate pentru a optimiza valoarea afacerii. Portofoliul de investiţii 
este de interes primar pentru Val IT. Serviciile IT, proiectele, activele sau alte portofolii de resurse sunt de 
interes primar pentru COBIT. 


Cadrul Val IT susţine obiectivul organizaţiei de a crea valoare optimă din investiţiile IT prin achiziţii la un 
cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate în procesele de 
gestionare a valorii, care sunt permise prin practici cheie de management şi sunt măsurate prin 
performanţa în raport cu obiectivele şi indicatorii stabiliţi. 


Principiile cadrului de lucru Val IT sunt: 

e Investițiile IT vor fi gestionate ca un portofoliu de investiţii. Optimizarea investiţiilor necesita 
abilitatea de a evalua şi de a compara investiţii, fiind selectate în mod obiectiv cele cu potenţialul cel 
mai mare de a crea valoare, şi de a le gestiona pentru a maximiza valoarea. 

e Investițiile IT vor include întreaga sferă de activităţi necesare pentru a atinge valoarea afacerii. 
Realizarea valorii din investiţii IT necesită mai mult decât livrarea de soluţii şi servicii IT - aceasta 
necesită, de asemenea, schimbări, cum ar fi: natura activității în sine; procesele de afaceri, abilităţi şi 
competenţe, precum şi organizarea, toate acestea trebuind să fie incluse în documentaţia de fun- 
damentare si de realizare privind investiţiile („Business Case - BC,). 

e Investițiile IT vor fi gestionate pe întreg ciclul de viata economic. BC trebuie să fie păstrat activ 
de la iniţierea unei de investiţii până la finalizarea tuturor serviciilor aferente investiţiei. Acest principiu 
recunoaşte că va exista întotdeauna un anumit grad de incertitudine şi că variaţia în timp a costurilor, 
riscurilor, beneficiilor, strategiei, şi a schimbărilor organizaționale şi externe trebuie să fie luată in 
considerare când se stabileşte dacă finanţarea ar trebui să fie continuată, majorată, diminuată sau 
oprită. 

e Practicile de livrare a valorii vor recunoaşte că există diferite categorii de investiţii care vor fi 
evaluate şi gestionate în mod diferit. Astfel de categorii s-ar putea baza pe preferința mana- 
gementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importanţa beneficiilor (de exemplu, 
obţinerea conformităţii cu un cadru de reglementare), precum şi pe tipurile şi gradul de schimbare a 
afacerii. 

e Practicile de livrare a valorii vor defini şi vor monitoriza indicatorii cheie şi vor reacţiona rapid 
la orice modificări sau abateri. Trebuie să fie stabiliţi şi monitorizati cu regularitate indicatori de 
performanţa pentru: (1) portofoliul global, (2) investiţiile individuale, incluzând indicatori intermediari şi 
indicatori finali, (3) serviciile IT, (4), bunurile IT şi (5) alte resurse care rezultă dintr-o investiţie, pentru 
a se asigura că valoarea este creată şi continuă să fie creată pe parcursul întregului ciclu de viaţă al 
investiţiei. 

e Practicile de livrare a valorii vor angaja toate părţile interesate şi vor atribui responsabilităţi 
adecvate pentru livrarea facililitatilor, precum şi pentru realizarea beneficiilor afacerii. Atât 
funcţia IT, cât şi alte funcţii ale afacerii trebuie să fie angajate şi responsabile - funcţia IT pentru 
facilităţi IT şi funcţiile de afaceri pentru facilităţile de afaceri necesare pentru a realiza valoare. 

e Practicile de livrare a valorii vor fi monitorizate, evaluate şi îmbunătăţite continuu. Pe măsură 
ce organizaţia câştigă experienţă privind practicile Val IT, aceste practici pot fi aplicate, astfel încât 
selectarea investiţiilor şi gestionarea acestora să se îmbunătăţească în fiecare an. 


2.9.6 Domeniile cadrului de lucru Val IT 


Pentru a îndeplini obiectivul cadrului de lucru Val IT, de management al valorii care să permită 
organizaţiei să realizeze valoarea optimă din investiţiile IT la un cost accesibil, cu un nivel acceptabil de 
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de risc, principiile cadrului Val IT trebuie să fie aplicate în trei domenii: guvernarea valorii, managementul 
portofoliului, managementul investiţiilor. 

Fiecare domeniu cuprinde o serie de procese şi practici cheie de management. Aceste procese şi practici 
cheie de management au fost distilate din experienţa colectivă a echipei care a creat cadrul de lucru 
Val IT şi a unei echipe de consilieri recunoscuţi la nivel mondial şi extrase din practicile, metodologiile şi 
cercetările existente şi emergente. 


a) Guvernarea Valorii 
Scopul guvernării valorii (Value Governance - VG) este de a asigura că practicile de management al 
valorii sunt încorporate în organizaţie şi permit obţinerea unei valori optime din investiţiile IT pe parcursul 
întregului lor ciclu de viata economică. Angajamentul conducerii în ceea ce priveşte guvernarea valorii 
contribuie la: 
e Stabilirea cadrului de guvernare pentru managementul valorii într-o manieră complet integrată cu 
guvernarea de ansamblu a întreprinderii; 
e Asigurarea direcţiei strategice pentru deciziile privind investiţiile; 
e Definirea caracteristicilor portofoliilor necesare pentru a sprijini noi investiţii şi serviciile IT 
rezultate, activele şi alte resurse; 
e Îmbunătăţirea gestionării valorii pe o bază continuă, în concordanță cu practicile învăţate. 


Cadrul Val IT defineşte procesele legate de investiţiile IT, practicile şi activităţile cheie de management 
care trebuie să apară în contextul guvernării globale a întreprinderii. Cadrul defineşte în mod special 
relaţia dintre funcţia de IT şi celelalte parti ale afacerii, şi între funcţia IT şi celelalte structuri cu atribuţii de 
guvernare din cadrul întreprinderii (biroul financiar, conducerea executivă). Activităţile aferente funcţiei IT 
sunt acoperite de cadrul de lucru COBIT. 


b) Managementul Portofoliului 

Scopul managementului portofoliului (Portfolio Management - PM), în contextul cadrului Val IT este de a 
garanta că o întreprindere asigură valoarea optima a portofoliului său privind investiţiile IT. Angajamentul 
conducerii în ceea ce priveşte managementul portofoliului, contribuie la: 

Stabilirea şi gestionarea profilurilor resurselor; 

Definirea pragurilor de investiţii; 

Evaluarea, prioritizarea şi selectarea, amânarea sau respingerea unor noi investiţii; 

Gestionarea şi optimizarea portofoliului global de investiţii; 

Monitorizarea şi raportarea privind performanţa portofoliului. 


Programele de afaceri privind investiţiile IT trebuie să fie gestionate ca parte a portofoliului total al 
investiţiilor, astfel încât toate investiţiile întreprinderii să fie selectate şi gestionate pe o bază comună. 
Programele din portofoliu trebuie să fie clar definite, evaluate, prioritizate, selectate şi gestionate în mod 
activ pe întreg ciclul lor viata economică, pentru a optimiza atât valoarea programelor individuale cât şi a 
portofoliului global. Aceasta include optimizarea alocării resurselor limitate pentru investiţii pe care 
organizaţia le are la dispoziţie, managementul de risc, identificarea şi corectarea la timp a problemelor 
(inclusiv anularea programului, daca este cazul) şi supervizarea investiţiilor la nivelul conducerii. 


Managementul portofoliului recunoaşte cerința pentru un portofoliu de a fi echilibrat. Recunoaste, de 
asemenea, că există diferite categorii de investiţii cu niveluri diferite de complexitate şi de grade de 
libertate în alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la, 
inovare, reforme cu grad ridicat de risc, extinderea afacerii, îmbunătăţirea operaţională, întreţinerea 
operaţională şi investiţiile obligatorii. Pentru fiecare categorie din portofoliul de investiţii ar trebui să fie 
stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program în portofoliu nu este un 
angajament de moment. Portofoliul format din investiţii potenţiale şi aprobate ar trebui să fie gestionat în 
mod activ, pe o bază continuă şi nu doar atunci când se solicită aprobarea. În funcţie de performanţele 
relative ale programelor active şi de oportunitatea oferită de programele potenţiale din cadrul portofoliului, 
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precum şi de schimbările aduse mediului de afaceri intern şi extern, portofoliul poate fi ajustat de către 
conducere. 


c) Managementul Investitiilor 
Scopul managementului investiţiilor (Investment Management - IM) este de a asigura faptul că investiţiile 
IT individuale ale întreprinderii contribuie la obţinerea valorii optime. 
Când liderii organizaţiei se angajează în gestionarea investiţiilor ei contribuie la: 
e Identificarea cerinţelor afacerii; 
e Dezvoltarea unei înțelegeri clare a programelor de investiţii candidate; 
e Analiza unor abordări alternative la punerea în aplicare a programelor; 
e Definirea fiecărui program, precum şi documentarea şi menţinerea unui BC (Business Case) 
detaliat pentru acesta, incluzând detalii privind beneficiile pe întreg ciclul de viata economică al 


investiţiei; 

e Asignarea unei responsabilităţi clare şi a unui proprietar, inclusiv în ceea ce priveşte realizarea 
beneficiilor; 

e Gestionarea fiecărui program pe întreg ciclul de viata economică, inclusiv finalizarea sau stoparea 
acestuia; 


e Monitorizarea şi raportarea privind performanţa fiecărui program. 


Componentele cheie ale managementului investiţiilor 

Există trei componente-cheie de gestionare a investiţiilor: Prima este Business Case (BC), care este 
esenţială pentru selectarea corectă a programelor de investiţii şi administrarea acestora pe parcursul 
executării lor. A doua este managementul programului, care reglementează toate procesele care susțin 
executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona 
în mod activ realizarea beneficiilor programului. 


2.9.7 Business Case (BC) 


Un BC cuprinzător este esenţial pentru a estima rezultatele programului, dar puţine organizaţii sunt 
adepte ale dezvoltării şi documentării acestuia. 

Un studiu realizat în anul 2006 de Cranfield University School of Management a constatat că, în timp ce 
96% din respondenţi au dezvoltat BC pentru investiţii care implică IT, 69% dintre aceştia nu au fost 
mulţumiţi cu eficacitatea practică. 

BC conţine un set de ipoteze cu privire la modul în care va fi creată valoarea, ipoteze care trebuie să fie 
bine testate pentru a se asigura că rezultatele aşteptate vor fi atinse. BC ar trebui să fie, de asemenea, 
bazat pe indicatori calitativi şi cantitativi care să justifice aceste ipoteze şi să ofere factorilor de decizie o 
perspectivă care va sprijini deciziile viitoare de investiţii. Documentaţia „Enterprise Value: Governance of 
IT Investments, The Business Case”? oferă îndrumări pentru a crea BC complete şi cuprinzătoare, 
punând accent deosebit pe evaluarea cuprinzătoare şi evaluarea valorii potenţiale şi a riscurilor, precum 
şi pe definirea unor indicatori cheie, atât financiari (valoarea actualizată netă, rata internă de rentabilitate 
şi perioada de amortizare), cât şi non-financiari. 


BC constă în resurse de intrare majore, precum şi din cele trei fluxuri de activităţi care sunt: capacităţile 
tehnice de livrare (de exemplu, managementul relaţiilor cu clienţii (CRM), facilităţile operaţionale (de 
exemplu, utilizatorii au acces la toate informaţiile despre clienţi) şi facilităţile de afaceri (de exemplu, infor- 
matiile sunt folosite pentru a suporta vănzări încrucişate). 


Cele trei fluxuri dinamice pot fi regăsite pe întreg ciclul de viaţă al proceselor sau al sistemului. Ciclul de 
viata poate fi sintetizat în patru etape: dezvoltarea, implementarea, operarea şi scoaterea din funcțiune. 
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Fiecare dintre aceste fluxuri de lucru trebuie să fie documentat cu date care să susţină decizia de investiţii 
şi procesele de management de portofoliu: iniţiative, costuri, riscuri, ipoteze, rezultate şi indicatori. 


BC ar trebui să includă cel puţin următoarele elemente: 
e Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri şi care dintre funcţiile afacerii 

va fi responsabilă pentru asigurarea lor; 

Schimbările de afaceri necesare pentru a crea valoare adăugată; 

Investiţiile necesare pentru a face schimbări ale afacerii; 

Investiţiile necesare pentru a schimba sau adăuga noi servicii IT şi elemente de infrastructură; 

Funtionarea continuă a sistemului IT şi costurile de afaceri relative la funcţionarea în contextul 

schimbat; 

e Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrângeri sau 
dependențe; 

e Cine va fi responsabil pentru crearea cu succes a valorii optime; 

e Cum vor fi monitorizate investiţiile şi crearea de valoare pe parcursul ciclului de viata economică, 
precum şi indicatorii care urmează să fie utilizaţi. 


BC ar trebui să fie dezvoltat dintr-o perspectivă strategică, de tip „top-down” (de „sus în jos”), începând cu 
o înțelegere clară a rezultatelor dorite privind afacerea şi progresând până la o descriere detaliată a 
sarcinilor critice şi reperelor, precum şi a rolurilor şi responsabilitatilor cheie. 


BC nu este un document static de folosinţă unică, ci constituie un instrument dinamic operaţional, care 
trebuie să fie actualizat continuu pentru a reflecta punctul de vedere actual asupra viitorului programului, 
astfel încât viabilitatea acestuia să poată fi menţinută. 


BC trebuie să includă răspunsuri la patru întrebări, răspunsuri bazate pe informaţii relevante focalizate pe 
afacere, despre programele potenţiale: 
e Dacă facem ceea ce trebuie — Ce s-a propus, pentru ce rezultat al afacerii şi cu ce contribuie 
proiectele în cadrul unui program? 
e Dacă suntem pe calea cea bună — Cum se va desfăşura şi ce trebuie făcut pentru a ne asigura 
că programul se va potrivi cu alte facilităţi curente sau viitoare? 
e Daca ceea ce facem este bine — Care este planul pentru îndeplinirea lucrărilor şi ce resurse şi 
fonduri sunt disponibile? 
e Daca aducem beneficii — Cum vor fi furnizate beneficiile? Care este valoarea programului? 


Structura BC 


Situatiile afacerii pentru investiţiile IT iau în considerare următoarele relaţii cauzale: 
- Resursele sunt necesare pentru dezvoltare 
- Tehnologia / serviciile IT support 
-  Capabilitatea operaţională pe care o va permite 
-  Capabilitatea afacerii care va fi creată 
- Valoarea pentru părţile interesate 


Aceste relaţii implică existenţa a trei fluxuri de activităţi interrelationate care creează capabilități tehnice, 
operaţionale şi de afacere. 


Fiecare dintre cele trei fluxuri de activitate are un număr de componente care sunt esenţiale pentru a 
evalua complet BC. Aceste componente, împreună, formează baza pentru un model analitic şi sunt defi- 
nite după cum urmează: 
e Rezultate - rezultate clare şi măsurabile vizate, inclusiv rezultate intermediare; aceste rezultate 
sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare 
sau non-financiare. 
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e Initiative - Actiuni/proiecte de afacere, proces de afaceri, oameni, tehnologie şi organizaționale 
(BPPTO) actiuni/proiecte (activităţi care acoperă dezvoltarea, punerea în aplicare, operarea şi 
scoaterea din funcţiune) care contribuie la unul sau mai multe rezultate. 

e Contribuții - Contribuţia masurabila asteptata de la initiative sau rezultate intermediare pentru 
alte iniţiative sau rezultate. 

e lpoteze - lpoteze privind condiţiile necesare pentru realizarea rezultatelor sau iniţiativelor, dar 
asupra cărora programul organizaţiei are control redus sau deloc. Evaluarea riscului reprezentat 
de ipoteze şi orice alte constrângeri cu privire la costuri, beneficii şi aliniere constituie o mare 
parte a BC. Alte componente care sunt identificate în BC sunt resursele necesare pentru a 
efectua toate activităţile în care constă iniţiativa, precum şi cheltuielile de achiziţii şi, dacă este 
necesar, de menţinere a acestor resurse. 


2.9.8 Procesele VAL IT 


Procesele sunt o colecţie de activităţi care interacționează, întreprinse în conformitate cu practicile de 
management. Procesele au intrări de la una sau mai multe surse (inclusiv alte procese), pot manipula 
intrările, utiliza resursele în conformitate cu politicile, şi pot produce ieşiri (inclusiv ieşiri către alte 
procese). Procesele ar trebui să aibă motive clare ale afacerii pentru proprietarii acestora, roluri şi 
responsabilităţi clare relative la executarea fiecărui proces, precum şi mijloacele de a genera şi măsura 
performanţa. 


Domenii şi procese Val IT 


După cum am menţionat, domeniile Val IT sunt: guvernarea valorii (Value Governance - VG), mana- 
gementul portofoliului (Portfolio Management - PM), şi managementul investiţiilor (Investment 
Management - IM). 


În continuare, vom prezenta o descriere de nivel înalt a proceselor din cadrul fiecărui domeniu. 
Guvernarea valorii (Value Governance - VG) 


VG1 - Stabilirea unei conduceri informate şi angajate - Stabilirea unei conduceri informate şi angajate, 
cu un comitet (forum) de conducere şi un sistem eficient de linie de raportare, în raport cu importanţa IT 
pentru întreprindere. Dezvoltarea unei înţelegeri corecte a elementelor cheie de guvernare şi a 
perspectivelor clare în cadrul Strategiei IT. Asigurarea, alinierea şi integrarea afacerii cu domeniul IT. 

VG2 - Definirea şi punerea în aplicare a proceselor - Definirea unui cadru de guvernanta pentru 
managementul valorii IT, inclusiv pentru procesele suport. Evaluarea calităţii şi acoperirii proceselor 
curente pentru a defini cerinţele de viitoarelor procese, astfel încât acestea să ofere controlul şi 
supravegherea necesare şi să permită legătura activă între strategie, portofolii, programe şi proiecte. 
Stabileşte structurile organizaționale necesare şi punerea în aplicare a proceselor cu rolurile, respon- 
sabilitatile şi raspunderile asociate. 

VG3 - Definirea caracteristicilor portofoliului - Definirea diferitelor tipuri de portofolii. Definirea cate- 
goriilor în cadrul portofoliilor, inclusiv ponderea relativă a acestora. Dezvoltarea şi comunicarea modului în 
care aceste categorii vor fi evaluate în mod comparabil şi transparent. Definirea cerinţelor pentru 
evaluare, pentru fiecare categorie. 

VG4 - Alinierea şi integrarea managementul valorii cu planificarea financiară a întreprinderii - 
Revizuirea practicilor curente bugetare ale întreprinderii şi identificarea şi, ulterior, implementarea modi- 
ficărilor necesare pentru punerea în aplicare a practicilor de management de planificare financiară la 
valoarea optimă pentru a facilita pregătirea BC, luarea deciziei de a investi şi managementul investiţiilor în 
curs de desfăşurare. 

VG5 - Stabilirea unei monitorizări eficiente de guvernare - Identificarea obiectivelor cheie şi a 
metricilor proceselor de management al valorii care trebuie monitorizate, precum şi a abordărilor, 
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metodelor, tehnicilor şi proceselor pentru colectarea şi raportarea informaţiilor de măsurare. Stabilirea 
modului în care vor fi identificate şi monitorizate abaterile sau problemele şi raportarea privind rezultatele 
acțiunilor de remediere. 

VG6 - Imbunătăţirea continuă a practicilor de gestionare a valorii - Revizuirea experienţelor 
referitoare la managementul valorii. Planificarea, iniţierea şi monitorizarea schimbărilor necesare pentru 
îmbunătăţirea guvernării valorii, a managementului portofoliului şi al proceselor de administrare a 
investiţiilor. 


Managementul portofoliului (Portfolio Management - PM) 


PM1 - Stabilirea direcţiei strategice şi a țintelor de investiţii - Revizuirea şi asigurarea clarităţii 
strategiei de afaceri şi identificarea şi comunicarea oportunităţilor de IT pentru a influenţa sau a sprijini 
strategia. Definirea unei combintii adecvate de investiţii pe baza ratei de rentabilitate, a gradului de risc si 
de tip al beneficiului pentru programele din portofoliu care pun în aplicare strategia. Ajustarea strategiei de 
afaceri în cazul în care este necesar şi transpunerea acestora în strategia IT şi în obiective. 

PM2 - determină disponibilitatea şi sursele de finanţare - Determinarea surselor potenţiale de fonduri 
pentru program, a nivelului surselor care pot fi atrase, precum şi a metodelor necesare de realizare. 
Determinarea implicaţiilor generate de sursa de finanţare asupra aşteptărilor privind veniturile din 
investiţii. 

PM3 - Managementul disponibilităţii resurselor umane - Crearea şi menţinerea unui inventar al 
afacerii şi al resurselor umane IT. Înțelegerea cererii actuale şi viitoare de resurse umane pentru a sprijini 
investiţiile IT şi identificarea neajunsurilor şi disputelor. Crearea şi menţinerea planurilor tactice pentru 
managementul resurselor umane. Monitorizarea şi revizuirea planurilor şi a structurilor organizatorice 
suport, precum şi ajustarea, dacă este necesar. 

PM4 - Evaluarea şi selectarea programelor pentru a le finanța - Evaluarea BC al afacerii, atribuirea 
unui scor relativ şi comunicarea deciziilor de investiţii bazate pe viziunea portofoliului de investiţii şi pe 
punctajele individuale. Ulterior, alocarea de fonduri; etapa finală a programelor selectate, mutarea 
acestora în portofoliului de investiţii active şi ajustarea obiectivelor de afaceri, previziuni şi bugete, în 
consecinţă. 

PM5 - Monitorizarea şi raportarea privind performanţa portofoliului de investiţii - Oferirea unei 
imagini cuprinzătoare şi exacte a performanţei portofoliului de investiţii, în timp util pentru a permite 
revizuirea, de către părţile interesate cheie, a progresului întreprinderii faţă de obiectivele identificate. 
PM6 - Optimizarea performanţei portofoliului de investiţii - Revizuirea periodică a portofoliului de 
investiţii şi optimizarea performanţei pentru noi oportunităţi, sinergii şi riscuri. După optimizare, revizuirea 
viziunii strategiei de afaceri şi asupra investiţiilor combinate şi revizuirea prioritatilor portofoliului, daca 
este necesar. 


Managementul investiţiilor (Investment Management - IM) 


IM1 - Dezvoltarea şi evaluarea iniţială a BC al programului - Recunoaşterea oportunității de investiţii, 
clasificarea fiecăreia în concordanţă cu categoriile din portofoliui de investiţii şi identificarea unui sponsor 
pentru afacere. Clarificarea rezultatelor aşteptate ale afacerii şi prezentarea unei vederi la nivel înalt a 
tuturor iniţiativelor necesare pentru a obţine rezultatele aşteptate şi a modului în care acestea ar putea fi 
măsurate. Furnizarea unei estimări iniţiale, la nivel înalt a beneficiilor şi costurilor, precum şi a princi- 
palelor ipoteze şi riscuri majore şi obţinerea aprobărilor corespunzătoare. Determinarea oportunității unor 
lucrări suplimentare pentru a sprijini dezvoltarea unui BC detaliat, având în vedere alinierea strategică, 
beneficiile şi cheltuielile, resursele, riscurile şi compatibilitatea cu portofoliul de investiţii globale. 

IM2 - Înțelegerea programului candidat şi a opţiunilor de implementare - Implicarea părților interesate 
cheie pentru a dezvolta şi documenta o înţelegere completă privind: rezultatele programului candidat 
aşteptate de afacere, modul în care acestea vor fi măsurate, întreaga sferă de iniţiative necesară pentru a 
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atinge rezultatele, riscurile implicate şi impactul asupra tuturor aspectelor afacerii (întreprinderii). 
Identificarea şi evaluarea unor cursuri alternative de acţiune pentru a atinge rezultatele dorite ale afacerii. 
IM3 - Elaborarea planului de program - Definirea şi documentarea tuturor proiectelor necesare pentru 
realizarea programului pentru a obţine rezultatele aşteptate ale afacerii. Precizarea cerinţelor de resurse 
şi a metodei de obţinere asociate. Prezentarea unui grafic de timp care să ţină seama de interdepen- 
dentele dintre mai multe proiecte. 

IM4 - Dezvoltarea costurilor complete aferente ciclului de viaţă şi beneficiilor - Pregătirea unui 
program de buget bazat pe costurile pe întreg ciclul de viaţă economică. Înscrierea tuturor beneficiilor 
intermediare şi de afaceri într-un registru, precum şi planificarea modului în care acestea vor fi realizate. 
Identificarea şi documentarea obiectivelor pentru rezultatele cheie care urmează să fie realizate, inclusiv 
în ceea ce priveşte metoda de măsurare şi abordarea pentru atenuarea insucceselor. Prezentarea 
bugetelor, costurilor, beneficiilor şi planurilor aferente pentru revizuire, rafinare şi aprobare. 

IM5 - Dezvoltarea BC detaliat pentru programul candidat - Elaborarea unui BC complet şi cuprinzător 
pentru programul candidat, care acoperă scopul, obiectivele, domeniul de aplicare şi abordarea, 
dependentele, riscurile, reperele, precum şi impactul schimbării organizaționale. Includerea unei aprecieri 
a valorii, bazate pe costurile economice aferente întregului ciclu de viaţă, şi a beneficiilor, a ratei 
preconizate de randament, a alinierii strategice şi ipotezelor cheie. De asemenea, furnizarea unui plan al 
programului care să acopere planurile componentei proiectului, planul de realizare a beneficiilor, modul de 
abordare a managementului riscului şi al schimbării, precum şi a structurii programului. Atribuirea clară a 
responsabilitatilor, autorităţii şi dreptului de proprietate pentru realizarea beneficiilor, controlului costurilor, 
gestionarea riscurilor şi coordonarea activităţilor si interdependentelor proiectelor multiple. Obţinerea 
acceptării cu privire la responsabilităţi şi răspundere. 

IM6 - Lansarea şi managementul programului - Planificarea, resurselor necesare proiectelor, pentru a 
obține rezultatele programului. Planificarea resurselor pentru perioade ulterioare, dar finanţarea acestora 
numai până la următoarea revizuire. Administrarea performanţei programului pe baza unor criterii cheie, 
pentru a identifica abaterile de la plan şi a întreprinde în timp util acţiuni de remediere. Monitorizarea 
beneficiilor pe tot parcursul programului, a realizării reale şi potenţiale şi raportarea privind progresele. 
Iniţierea de acţiuni în timp util pentru abateri semnificative de la plan, precum şi pentru problemele 
apărute. 

IM7 - Actualizarea portofoliilor IT operaţionale — Reflectarea schimbărilor care rezultă din programul de 
investiţii pentru servicii IT relevante, a activelor şi a portofoliilor de resurse. 

IM8 - Actualizarea BC — Actualizarea BC al programului, pentru a reflecta starea curentă, ori de câte ori 
există schimbări care afectează costurile preconizate, beneficiile, oportunităţile sau riscurile. 

IM9 - Monitorizarea şi raportarea cu privire la program - Monitorizarea performanţelor programului 
general şi a tuturor proiectele sale, precum şi un raport către conducere, complet şi exact, privind livrarea 
de capacităţi tehnice şi de afaceri, aspectele operaţionale referitoare la livrarea de servicii, impactul 
asupra resurselor şi realizarea de beneficii. Raportarea poate include performanţa în raport cu planul 
programului în ceea ce priveşte calendarul şi bugetul, exhaustivitatea şi calitatea functionalitatii, calitatea 
controlului intern şi diminuarea riscurilor, precum şi acceptarea continua a responsabilităţi pentru 
asigurarea unor beneficii intermediare ale afacerii. 

IM10 - Scoaterea din funcţiune a programului - Aducerea programului la o închidere ordonată şi 
scoaterea acestuia din portofoliul de investiţii active atunci când există un acord că valoarea dorită de 
afacere a fost realizată sau atunci când este clar că obiectivul nu va fi atins în cadrul criteriilor valorice 
stabilite pentru program. 


2.9.9 Liniile directoare Val IT 


Val IT oferă linii directoare pentru management pentru a ajuta organizaţiile în crearea şi administrarea 
proceselor de gestionare a valorii în mediul IT. 
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Orientările oferă răspunsuri la întrebări tipice de management, cum ar fi: 

e Cum interacționează toate procesele şi activităţile de gestionare a valorii? 

Care sunt activitatile-cheie care trebuie întreprinse sau îmbunătăţite? 

Ce roluri şi responsabilităţi vor fi definite pentru procesele de management cu succes al valorii? 
Cum putem măsura şi compara procesele de management al valorii? 

Care sunt cei mai buni indicatori de performanţă? 


Pentru fiecare proces Val IT, liniile directoare de gestionare Val IT includ intrări şi ieşiri, descrieri de 
activitate, diagrame RACI (Responsabil, Răspunzător, Consultant şi Informat) diagrame, obiective şi 
indicatori pe diferite niveluri. 


Val IT defineşte, de asemenea, un model de maturitate, pentru fiecare dintre cele trei domenii Val IT, 
oferind o scala de măsurare incrementală de la 0 la 5. 


2.10 Cadrul de lucru Risk IT 


Risk IT este un set de principii şi un cadru de lucru care ajută organizaţia să identifice, să guverneze şi să 
gestioneze riscurile IT in mod eficient. 


Riscurile joacă un rol critic pentru succesul unei afaceri, procesul decizional presupunând gestionarea 
eficientă, pe o bază continuă, a acestora. 

Destul de des, riscurile IT (riscurile legate de implementarea şi utilizarea sistemelor IT) sunt neglijate, spre 
deosebire de alte categorii de riscuri (riscul de piaţă, riscul de creditare şi riscul operaţional) care sunt 
incorporate în procesul de luare a deciziei. Riscurile IT trebuie să fie transferate specialiştilor tehnicieni şi 
trebuie să fie incluse în categoria riscurilor care au impact asupra obiectivelor strategice. 

Cadrul de lucru Risk IT este un cadru bazat pe un set de principii directoare pentru gestionarea eficientă a 
riscurilor IT care completează cadrul de lucru COBIT, un cadru cuprinzător pentru guvernare şi controlul 
afacerii bazate pe soluţii şi servicii IT. În timp ce COBIT oferă un set de controale pentru a atenua riscul 
IT, Risk IT oferă un cadru pentru organizații (pentru a identifica, guverna şi gestiona riscurile IT) şi pentru 
auditorii care îl utilizează ca referential în cadrul misiunilor de audit. În timp ce COBIT oferă mijloacele de 
management al riscurilor, Risk IT oferă, în plus, un cadru îmbunătăţirea a gestionării riscului. 


Cadrul de lucru Risk IT este o parte din portofoliul de produse ISACA privind guvernarea IT, fiind bazat pe 
un set de principii directoare pentru managementul eficient al riscurilor IT. 


2.10.1 Principiile cadrului de lucru Risk IT 


Cadrul de lucru Risk IT poate fi considerat ca un cadru de management al riscurilor afacerii legate de 

utilizarea IT. Conexiunea la afacere se bazează pe principiile pe care este construit cadrul de lucru, pe 

primul plan situându-se guvernarea organizaţiei şi gestionarea eficientă a riscurilor IT: 

e Managementul riscurilor IT se conectează întotdeauna la obiectivele afacerii; 

*  Aliniază managementul IT la riscul global al managementului organizaţiei; 

+  Echilibreaza costurile şi beneficiile aferente gestionării riscurilor IT; 

e Promovează comunicarea echitabilă şi deschisă a riscurilor IT; 

e Stabileşte modul în care conducerea de vârf defineşte şi atribuie responsabilitatile personalului privind 
operarea sistemului în limitele stabilite; 

e Este un proces continuu şi o parte a activităţilor zilnice. 
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Pentru prioritizarea şi gestionarea riscurilor IT, conducerea are nevoie de un cadru de referință şi de o 
înţelegere clara a functiei IT şi a riscurilor IT. Cu toate acestea, părţile interesate care ar trebui sa 
răspundă pentru gestionarea riscurilor din cadrul organizaţiei de multe ori nu au o înţelegere deplină în 
legătură cu acestea. Managerii IT sunt responsabili pentru gestionarea riscurilor associate şi trebuie sa 
determine ce trebuie făcut pentru a sprijini activitatea. 


Cadrul de lucru explică riscurile IT şi permite conducerii organizaţiei să ia deciziile cele mai adecvate, care 

vor permite utilizatorilor să conştientizeze importanţa şi să contribuie la minimizarea acestora. În acest 

context vor întreprinde o serie de acţiuni: 

e Integrarea gestionării riscurilor IT în gestionarea generală a riscurilor organizaţiei; 

e Asigurarea unor decizii bine informate cu privire la gradul de risc, la apetitului pentru risc şi la 
toleranța la risc a întreprinderii; 

e Înțelegerea modului de a răspunde la risc. 


Cadrul RISK IT acoperă decalajul existent între cadrele generice de gestionare a riscurilor cum ar fi 
COSO ERM şi AS/NZS 4360 (care în curând vor fi înlocuite cu standardul /SO 31000) şi echivalentul său 
britanic ARMS6 şi cadrele de gestionare a riscurilor IT (în primul rand cele legate de securitate) detaliate. 


2.10.2 Documentaţia aferentă cadrului de lucru Risk IT 


Documentaţia aferentă cadrului de lucru Risk IT este compusă din două publicaţii importante: The Risk IT 
Framework şi The Risk IT Practitioner Guide. 


Documentaţia The Risk IT Framework conţine: 
e Unset de practici de guvernare pentru managementul riscului; 
e Un cadru de lucru orientat pe procese pentru gestionarea cu succes a riscurilor IT; 
e  Olistă generică de scenarii de risc comune, potential adverse, legate de IT, care ar putea 
avea un impact important în realizarea obiectivelor afacerii; 
e Instrumente si tehnici pentru a înţelege riscurile concrete ale operaţiunilor de afaceri, cum ar 
fi liste de verificare generice şi cerinţe de conformitate. 


Cadrul de lucru prevede un model de proces global pentru risc IT care se referă la activităţile cheie din 
cadrul fiecărui proces, responsabilitatile pentru fiecare proces, fluxurile de informaţii între procese si de 
management al performanţei fiecărui proces. Modelul este împărțit în trei domenii, fiecare conţinând, la 
rândul său trei procese: 

e Guvernarea riscului (Risk Governance) 

e Evaluarea riscului (Risk Evaluation) 

* Răspunsul la risc (Risk Response). 


Cele trei procese asociate domeniilor sunt: 


* Guvernarea riscului 

- Stabilirea şi menţinerea unei viziuni comune asupra riscului; 

- Integrarea cu ERM (Enterprise Risk Management); 

-  Conştientizarea necesităţii luării unor decizii privind riscurile afacerii. 
* Evaluarea riscului 

- Colectarea datelor 

- Analiza riscului 

- Mentinerea profilului de risc 
e Răspunsul la risc 

- Riscul agregat 

- Managementul riscurilor 

- Reacţia la evenimente 
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Documentaţia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT 
care oferă exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum şi îndrumări 
detaliate cu privire la modul de abordare a conceptelor cuprinse în modelul procesului. 


Conceptele şi tehnicile explorate în detaliu includ: 

e Scenarii construite pe baza unui set de generic de scenarii de risc IT; 

e Construirea unei hărţi a riscurilor, folosind tehnici pentru a descrie impactul şi frecvenţa scenariilor; 

e Construirea criteriilor de impact cu relevanţă pentru afaceri; 

e Definirea indicatoriilor cheie relevanti (Key Relevance Indicators — KRIs); 

e Utilizarea COBIT şi Val IT pentru a atenua riscul; legătura între Risk IT şi obiectivele de contol şi 
practicile de management cheie din COBIT şi Val IT. 


Aplicarea bunelor practici de management al riscurilor IT aşa cum este descrisă în Risks IT va oferi 
beneficii tangibile pentru afacere, de exemplu, mai puţine incidente operaţionale şi eşecuri, creşterea 
calităţii informaţiilor, o mai mare încredere a părţilor interesate şi reducerea numărului de probleme 
referitoare la cadrul de reglementare şi de inovare, sprijinirea iniţiativelor de noi afaceri. 

Deşi documentaţia referitoare la Risk IT oferă un cadru complet şi autonom, ea include referiri la COBIT şi 
Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT şi Val IT, şi recomandă ca managerii 
şi practicienii să se familiarizeze cu principalele principii şi cu conţinutul acestor două cadre. Ca şi COBIT 
şi Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici în 
domeniu. Acest lucru înseamnă că organizaţiile pot şi ar trebui să personalizeze componentele din cadrul 
entității lor pentru a se potrivi cu specificul organizaţiei. 

Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare) 
pe baza cărora vor efectua evaluările, în funcţie de specificul entității auditate. 


ISACA se preocupă în continuare de actualizarea şi dezvoltarea continuă a cadrelor de lucru COBIT, Val 
IT şi Risk IT, precum şi de cadrul de asigurare ITAF (The IT Assurance Framework®°) şi de securitate a 
informaţiei BMIS (Business Model for Information Security6?). 


2.10.3 Domenii, procese şi activităţi 


În secţiunea următoare sunt prezentate sintetic domeniile, procesele şi activităţile cadrului de lucru RiskIT. 
DOMENIUL Guvernarea riscului (Risk Governance - RG) 


e Procesul RG1 - Stabilirea şi menţinerea unei viziuni comune asupra 
riscurilor 
Activităţi 
RG1.1 Efectuarea evaluării riscului IT al intreprinderii 
RG1.2 Propunerea unor praguri de toleranță pentru riscurile IT 
RG1.3 Aprobarea tolerantei pentru riscurile IT 
RG1.4 Alinierea la politica de risc IT 
RG1.5 Promovarea culturii conştientizării riscurilor IT 
RG1.6 Încurajarea comunicării eficiente a riscurilor IT 


e Procesul RG2 - Integrarea cu ERM (Enterprise Risk Management) 
Activităţi 
RG2.1 Stabilirea şi menţinerea răspunderii pentru managementul riscurilor IT 
RG2.2 Coordonarea strategiei riscurilor IT cu strategia riscului de afaceri 
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RG2.3 Adaptarea practicilor de risc IT la practicile de risc pentru întreprindere 
RG2.4 Furnizarea resurselor adecvate pentru managementul riscurilor IT 
RG2.5 Furnizarea unei asigurări independente privind managementul riscurilor IT 


e Procesul RG3 — Luarea deciziilor de afaceri constientizand riscurile 

Activităţi 

RG3.1 Obţinerea implicării efective a managementului pentru abordarea analizei 
riscului IT 

RG3.2 Aprobarea analizei de risc IT 

RG3.3 Incorporarea considerentelor de risc IT în procesul de luare a deciziilor 
strategice ale afacerii 

RG3.4 Acceptarea riscurilor IT 

RG3.5 Prioritizarea activităţilor de răspuns la riscurile IT 


DOMENIUL Evaluarea riscurilor (Evaluation Risk - RE) 


e Procesul RE1 - Colectarea de date 
Activitati 
RE1.1 Stabilirea si mentinerea unui model de colectare a datelor 
RE1.2 Colectarea datelor cu privire la mediu de operare 
RE1.3 Colectarea datelor privind evenimentele de risc 
RE1.4 Identificarea factorilor de risc 


e Procesul RE2 - Analiza de risc 
Activitati 
RE2.1 Definirea domeniului de aplicare al analizei de risc IT 
RE2.2 Estimarea riscurilor IT 
RE2.3 Identificarea opţiunilor de răspuns la risc 
RE2.4 Efectuarea unei evaluări „peer review” de analiză a riscurilor IT 


e Procesul RE3 - Mentinerea profilului de risc 
Activităţi 
RE3.1 Harta resurselor IT pentru procesele de afaceri 
RE3.2 Determinarea resurselor IT critice ale afacerii 
RE3.3 Înțelegerea capabilitatilor IT 
RE3.4 Actualizarea componentelor scenariului riscurilor IT 
RE3.5 Mentinerea registrului şi a hărții riscurilor IT 
RE3.6 Dezvoltarea indicatorilor de risc IT 


DOMENIUL Răspunsul la risc (Risk Response — RR) 


e Procesul RR1 Agregarea riscurilor 
Activităţi 
RR1.1 Comunicarea rezultatelor analizei de risc 
RR1.2 Raportarea activităților de management al riscurilor IT şi 
starea conformităţii 
RR1.3 Interpretarea independentă a constatărilor evaluării IT 
RR1.4 Identificarea oportunităţilor legate de IT 
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e Procesul RR2 Managementul riscurilor 
Activităţi 
RR2.1 Inventarierea controalelor 
RR2.2 Monitorizarea alinierii operaţionale cu pragurile de toleranţă a riscurilor 
RR2.3 Răspunsul la expunerea la riscurile descoperite 
RR2.4 Implementarea controalelor 
RR2.5 Raportarea îndeplinirii planului de acţiune privind riscurile IT 


e Procesul RR3 Reacţia la evenimente 
Activităţi 
RR3.1 Mentinerea planurilor de răspuns la incidente 
RR3.2 Monitorizarea riscurilor IT 
RR3.3 Iniţierea răspunsului la incidente 
RR3.4 Comunicarea lecţiilor învăţate din evenimentele referitoare la risc 


Monitorizarea riscurilor şi a factorilor de risc trebuie să fie revizuită, pentru a face fata mediului în 
schimbare. De asemenea, procesele şi activităţile trebuie să fie actualizate. Trebuie să fie menţinută o 
privire de ansamblu care să ofere o imagine completă a riscurilor. 


2.11 Standardul ISO/CEI 27001 - Sisteme de management al 
securităţii informaţiei 


Standardul international ISO/CEI 27001 constituie un referential pentru evaluarea tehnicilor de securitate 
implementate în sistemele de management al securităţii informaţiei. 

Acest standard a fost elaborat pentru a furniza un model pentru stabilirea, implementarea, funcţionarea, 
monitorizarea, revizuirea, întreţinerea şi îmbunătăţirea unui Sistem de Management pentru Securitatea 
Informaţiei (SMSI) şi se aplică în toate tipurile de organizaţii (de exemplu: societăţi comerciale, agenţii 
guvernamentale, organizaţii non-profit). 

Standardul specifică cerințele pentru implementarea măsurilor de securitate adaptate la nevoile 
individuale ale organizaţiei sau ale unor părţi din aceasta, astfel încât sistemul de management al secu- 
ritatii informaţiei să asigure selectarea adecvată a măsurilor de securitate care protejează resursele 
informatice şi să asigure încrederea părților implicate. 


ISO (Organizaţia Internaţională de Standardizare) şi CEI (Comisia Electrotehnică Internaţională) repre- 
zintă sistemul internaţional specializat pentru standardizare. Comitetele tehnice ISO şi CEI colaborează în 
domenii de interes reciproc. 
Standardele internationale ISO/IEC din seria 27000 au fost elaborate de Comitetul tehnic comun ISO/CEI 
JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques. Acestea includ: 
= ISO/IEC 27000:2009 „Information Technology — Security Techniques — Information Security 
Management Systems — Overview and Vocabulary” 
= ISO/IEC 27001:2005 „Information Technology — Security Techniques — Information Security 
Management Systems — Requirements” 
= ISO/IEC 27002:2008 „Information Technology — Security Techniques — Information Security 
Management Systems — Code of Practice for Information Security” 
= ISO/IEC 27003:2010 „Information Technology — Security Techniques — Information Security 
Management Systems — Information Security Management System Implementation Guidance” 
= ISO/IEC 27004:2009 „Information Technology — Security Techniques — Information Security 
Management Systems — Measurement” 
= ISO/IEC 27005:2008 „Information Technology — Security Techniques — Information Security 
Management Systems — Information Security Risk Management” 
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= ISO/IEC 27006:2007 „Information Technology — Security Techniques — Information Security 
Management Systems — Requirements for Bodies providing Audit and Certification of Information 
Security Management Systems” 


Adoptarea SMSI trebuie sa fie o decizie strategica pentru o organizaţie. Proiectarea si implementarea 
unui SMSI într-o organizaţie este influenţată de nevoile şi obiectivele acesteia, de cerinţele de securitate, 
de procesele existente şi de mărimea şi structura organizaţiei. 


Standardul international ISO/IEC 27001:2005 poate fi folosit pentru evaluarea conformităţii de către 
părţile interesate: management, auditori interni, auditori externi şi alţi factori externi. 


ISACA - ITGI a asigurat convergenta cu standardul ISO/IEC 27001:2005 prin maparea acestui standard 
peste procesele COBIT. Prin trecerea la noua arhitectură COBIT 5, propusă de ITWG, noul cadru de lucru 
va asigura şi conformitatea cu aceste standarde de securitate. 


2.11.1 Abordare bazată pe proces 


Standardul international ISO/CEI 27001 adoptă o abordare bazată pe proces pentru stabilirea, 
implementarea, funcţionarea, monitorizarea, evaluarea, întreţinerea şi îmbunătăţirea SMSI în cadrul unei 
organizaţii. 


Pentru ca o organizaţie să funcţioneze în mod eficient ea trebuie să identifice şi să conducă numeroase 
activităţi. Orice activitate care foloseşte resurse şi este condusă pentru a permite transformarea intrărilor 
în ieşiri, poate fi considerată un proces. În multe cazuri, o ieşire dintr-un process reprezintă în mod direct 
intrarea într-un alt proces. 


Abordarea bazată pe proces pentru managementul securităţii informaţiei prezentată în acest standard 
internaţional pune accentul pe următoarele aspecte: 


a) Înțelegerea cerințelor de securitate a informaţiei ale unei organizaţii si nevoia de a stabili politici şi 
obiective pentru securitatea informaţiei, 

b) Implementarea şi utilizarea măsurilor pentru a administra riscurile securităţii informaţiei în 
contextul riscurilor de ansamblu ale afacerii; 

c) Monitorizarea şi evaluarea performanţei şi eficienţei SMSI; şi 

d) Îmbunătăţirea continuă bazată pe măsurarea obiectivă. 


Acest standard international adoptă modelul "Plan-Do-Check-Act" (PDCA)®, care este aplicat pentru a 
structura toate procesele SMSI. 


Semnificaţia acestor concepte, în viziunea standardului, este următoarea: 

Plan (stabilirea SMSI) - Stabilirea politicii SMSI, a obiectivelor, proceselor şi procedurilor relevante pentru 
managementul riscului şi imbunatatirea securităţii informaţiei pentru a furniza rezultate în conformitate cu 
politicile şi obiectivele de ansamblu ale organizaţiei. 

Do (implementarea şi funcţionarea SMSI) - Implementarea şi funcţionarea politicilor SMSI, a măsurilor 
de securitate, a proceselor şi procedurilor. 

Check (monitorizarea şi revizuirea SMSI) - Evaluarea şi, acolo unde este aplicabil, măsurarea 
performanţei procesului în raport cu politica SMSI, obiectivele şi experienţa practică, precum şi raportarea 
rezultatelor către echipa de management pentru revizuire. 

Act (menţinerea şi îmbunătăţirea SMSI) - Deciderea acţiunilor corective şi preventive, bazate pe rezul- 
tatele auditului SMSI şi revizuirile managementului sau pe alte informaţii relevante pentru a obţine o 
îmbunătăţire continuă a SMSI. 
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Adoptarea modelului PDCA trebuie să reflecte, de asemenea, principiile care guvernează securitatea 
sistemelor informaţionale şi a reţelelor aşa cum sunt ele exprimate în Liniile Generale ale OECD® 


Standardul international ISO/CEI 27001 asigura un model pentru implementarea principiilor care 
guvernează analiza riscului, planificarea şi implementarea securităţii, managementul securităţii şi 
revizuirea. 


Acest standard internaţional acoperă toate tipurile de organizaţii, specifică cerinţele pentru stabilirea, 
implementarea, funcţionarea, monitorizarea, revizuirea, menţinerea şi îmbunătăţirea unui SMSI 
documentat în contextul general al riscurilor de afaceri ale organizaţiei, precum şi cerințele pentru 
implementarea măsurilor de securitate adaptate la nevoile individuale ale organizaţiei sau ale unor părţi 
din aceasta. 

Standardul furnizează, de asemenea, îndrumări pentru implementare, care pot fi folosite atunci când sunt 
proiectate măsurile de securitate. 


2.11.2 Obiective de control 


Obiectivele de control prevăzute de standardul ISO/IEC 27001 sunt prezentate sintetic în secţiunea 
următoare. Codificarea este cea prevăzută de standard. 


A.5 Politica de securitate a informaţiei: Asigurarea orientării generale din partea managementului şi 
acordarea sprijinului pentru securitatea informaţiei în conformitate cu cerințele afacerii, legislaţie şi 
reglementările aplicabile. 


A.6 Organizarea securităţii informaţiei 
A.6.1 Organizarea interna: Administrarea securităţii informaţiei în cadrul organizaţiei. 
A.6.2 Parti externe: Mentinerea securităţii informaţiei în cadrul organizaţiei şi a sistemelor de 
procesare a informaţiei care sunt accesate, procesate, comunicate către sau administrate de parti 
externe. 


A.7 Managementul resurselor 
A.7.1 Responsabilitatea pentru resurse: Obţinerea şi menţinerea unei protectii adecvate a 
resurselor organizaționale. 
A.7.2 Clasificarea informaţiei: Asigurarea că informaţia beneficiază de un nivel de protecţie 
adecvat. 


A.8 Securitatea resurselor umane 
A.8.1 Înaintea angajării: Asigurarea că angajaţii, contractantii şi utilizatorii terţi înţeleg respon- 
sabilitatile care le revin şi sunt corespunzători pentru rolurile pentru care sunt alocati, precum şi 
reducerea riscului de furt, fraudă sau de folosire necorespunzătoare a sistemelor. 
A.8.2 În timpul perioadei de angajare: Asigurarea faptului că toţi angajaţii, contractantii si 
utilizatorii terţi sunt conştienţi de amenințările privind securitatea informaţiei, responsabilitatile si 
răspunderile juridice ale acestora şi sunt pregătiţi să susţină politica de securitate organizaţională 
pe durata contractului de muncă şi să asigure reducerea riscului erorilor umane. 
A.8.3 Încetarea contractului sau schimbarea locului de muncă: Asigurarea faptului că angajaţii, 
contractanţii şi utilizatorii terţi părăsesc organizaţia sau schimbă locul de muncă într-o manieră 
reglementată. 
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A.9 Securitatea fizică şi a mediului de lucru 
A.9.1 Zone de securitate: Prevenirea accesului fizic neautorizat, a distrugerilor şi a pătrunderii în 
interiorul organizaţiei precum şi a accesului neautorizat la informaţii. 
A.9.2 Securitatea echipamentelor: Prevenirea pierderii, avarierii, furtului sau compromiterii 
resurselor şi a întreruperii activităţilor din cadrul organizaţiei. 


A.10 Managementul comunicaţiilor şi operaţiunilor 
A.10.1 Proceduri operaţionale şi responsabilităţi: Asigurarea operării corecte şi în condiţii de 
securitate a sistemelor de procesare a informaţiei. 
A.10.2 Managementul serviciilor furnizate de terţi: Implementarea şi menţinerea unui nivel 
corespunzător al securităţii informaţiei şi al livrării serviciilor în concordanţă cu acordurile de 
furnizare de către terţi. 
A.10.3 Planificarea şi acceptanta sistemelor: Reducerea riscurilor de disfunctionalitati ale 
sistemelor. 
A.10.4 Protecţia împotriva codurilor mobile şi dăunătoare: Asigurarea protejării integrităţii 
software-ului şi a informaţiei. 
A.10.5 Copie de siguranță: Mentinerea integrităţii şi disponibilitatii informaţiei şi a sistemelor de 
procesare a informaţiei. 
A.10.6 Managementul securităţii rețelei: Asigurarea protecţiei reţelelor de informaţii şi a protecţiei 
infrastructurii suport. 
A.10.7 Manipularea mediilor de stocare: Prevenirea divulgării neautorizate, modificării, înde- 
părtării sau distrugerii resurselor şi întreruperii activităţilor afacerii. 
A.10.8 Schimbul de informaţii: Mentinerea securităţii schimbului de informatie şi software în 
interiorul unei organizaţii sau cu orice entitate externă. 
A.10.9 Serviciile de comerț electronic: Asigurarea securităţii serviciilor de comerţ electronic şi a 
utilizării lor în condiţii de siguranţă. 
A.10.10 Monitorizarea: Identificarea activităţilor neautorizate de procesare a informaţiei. 


A.11 Controlul accesului 
A.11.1 Cerinţele afacerii pentru controlul accesului: Controlul accesul la informaţie. 
A.11.2 Managementul accesului utilizatorului: Asigurarea accesului autorizat al utilizatorului şi 
prevenirea accesului neautorizat la sistemele informatice. 
A.11.3 Responsabilitatile utilizatorului: Prevenirea accesului neautorizat al utilizatorului, precum şi 
a compromiterii sau furtului de informaţii şi sisteme de procesare a informaţiilor. 
A.11.4 Controlul de acces la rețea: Prevenirea accesului neautorizat la serviciile de reţea. 
A.11.5 Controlul accesului la sistemul de operare: Prevenirea accesului neautorizat la sistemele 
de operare. 
A.11.6 Controlul accesului la aplicaţii şi informaţii: Prevenirea accesului neautorizat la informaţia 
deţinută în sistemele de aplicaţii. 
A.11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul la distanţă: Asigurarea securităţii 
informaţiei atunci când se folosesc sisteme pentru prelucrarea datelor care utilizează echipa- 
mente mobile şi de lucru la distanţă. 


A.12 Achiziţionarea, dezvoltarea şi mentenanta sistemelor informatice 
A.12.1 Cerinţe de securitate pentru sistemele informaţionale: Asigurarea faptului că securitatea 
este parte integrantă a sistemelor informatice. 
A.12.2 Procesarea corectă a datelor în cadrul aplicaţiilor: Prevenirea erorilor, pierderilor, 
modificărilor neautorizate sau a folosirii greşite a informaţiilor în cadrul aplicaţiilor. 
A.12.3 Măsuri criptografice: Protejarea confidentialitatii, autenticităţii sau a integrităţii informaţiei 
prin metode criptografice. 
A.12.4 Securitatea fişierelor de sistem: Asigurarea securităţii fişierelor de sistem. 
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A.12.5 Securitatea în procesele de dezvoltare si de suport: Menţinerea securităţii produselor 
software de aplicaţii de sistem şi a informaţiei. 

A.12.6 Managementul vulnerabilitatilor tehnice: Reducerea riscurilor care decurg din exploatarea 
vulnerabilitatilor tehnice. 


A.13 Managementul incidentelor de securitate a informaţiei 
A.13.1 Raportarea evenimentelor produse şi a slăbiciunilor privind securitatea informaţiei: 
Asigurarea faptului că evenimentele de securitate a informaţiei şi slăbiciunile asociate sistemelor 
informaţionale sunt comunicate de o manieră astfel încât să permită întreprinderea la timp a 
acțiunilor corective. 
A.13.2 Managementul incidentelor de securitate a informaţiei şi îmbunătăţiri: Asigurarea faptului 
că pentru managementul incidentelor de securitate a informaţiei este aplicată o abordare con- 
sistentă şi eficientă. 


A.14 Managementul continuității afacerii 
A.14.1 Aspecte de securitate a informaţiei privind managementul continuității afacerii: Contraca- 
rarea oricăror discontinuități în activităţile afacerii şi protejarea proceselor critice ale afacerii fata 
de efectele căderilor majore ale sistemelor informaţionale sau împotriva dezastrelor, precum şi 
asigurarea reluării activităţii în timp optim. 


A.15 Conformitatea 
A.15.1 Conformitatea cu cerinţele legale: Evitarea încălcării oricărei legi, obligaţii statutare, de 
reglementare sau contractuale sau a oricărei alte cerinţe de securitate. 
A.15.2 Conformitatea cu standardele şi politicile de securitate şi conformitatea tehnică: 
Asigurarea conformităţii cu standardele şi politicile de securitate organizaționale. 
A.15.3 Consideraţii privind auditul asupra sistemelor informaţionale: Maximizarea eficienţei 
procesului de audit şi minimizarea interferenţei acestuia asupra sistemelor informaţionale. 
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Capitolul 3. Riscuri IT 


Riscul IT este o componentă a universului general al riscurilor întreprinderii. Alte categorii de riscuri cu 
care se confruntă o întreprindere includ: riscul strategic, riscul de mediu, riscul de piaţă, riscul de credit, 
riscul operaţional şi riscul de conformitate. În multe întreprinderi, riscul legat de IT este considerat a fi o 
componentă a riscului operational, de exemplu, în cadrul Basel Il pentru zona financiară. Cu toate 
acestea, chiar şi riscul strategic poate avea o componentă IT, în special în cazul în care IT este element 
cheie al iniţiativelor de afaceri noi. 


Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influenţa 
şi adoptarea de IT în cadrul unei întreprinderi. Se compune din evenimente legate de IT şi din condiţii 
care ar putea avea impact potential asupra afacerii. Acesta poate apărea cu frecvenţă şi amploare 
incerte, şi poate să creeze probleme în atingerea obiectivelor strategice şi a obiectivelor. 


Riscurile IT pot fi clasificate în diferite moduri: 
+ Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru iniţiativele de 
afaceri noi, tehnologia ca suport pentru eficientizarea operaţiunilor 
+ Riscuri privind livrarea programelor şi proiectelor IT: calitatea proiectului, relevanta proiectului, 
perturbări în derularea proiectului. 
e Riscuri privind operarea şi livrarea serviciilor IT: stabilitatea în funcţionare, disponibilitatea, 
protecţia şi recuperarea serviciilor, probleme de securitate, cerinţe de conformitate. 


Multe probleme legate de riscul IT pot apărea din cauza problemelor generate de terţi (furnizarea de 
servicii, dezvoltarea de soluţii), parteneri IT şi parteneri de afaceri. Prin urmare, buna gestionare a 
riscurilor IT impune dependențe semnificative care urmează să fie cunoscute şi bine înțelese. 

Datorita importanţei IT pentru întreprindere (afacere), riscurile IT ar trebui să fie tratate la fel ca alte riscuri 
de afaceri cheie, cum ar fi riscul strategic, riscul de mediu, riscul de piaţă, riscul de credit, riscurile 
operaţionale şi riscul de conformitate, toate acestea având impact major asupra îndeplinirii obiectivelor 
strategice. 


Riscul IT nu este doar o problemă tehnică. Deşi experţii în IT sunt interesaţi să înțeleagă şi să gestioneze 
aspectele legate de riscurile IT, managementul este cel mai important dintre părţile interesate. Managerii 
trebuie să determine care este necesarul de IT pentru a sprijini activitatea lor, să stabilească obiectivele 
pentru IT şi, în consecinţă, care sunt responsabilii cu gestionarea riscurilor asociate. 


3.1 Componentele esenţiale ale domeniului guvernare de risc 


În această secţiune sunt prezentate câteva componente esenţiale ale domeniului guvernare de risc: 
apetitul pentru risc şi toleranța la risc, responsabilitatile şi răspunderea pentru gestionarea riscurilor IT, 
conştientizarea şi comunicarea, precum şi cultura riscului 


Apetitul pentru risc şi toleranța riscului 


Definiţia COSO. Apetitul pentru risc şi toleranța sunt concepte care sunt frecvent utilizate, dar potenţialul 
de neînțelegere este mare. Unii oameni văd conceptele ca fiind interşanjabile, alţii văd o diferenţă clară. 
Definiţiile cadru ale riscurilor IT sunt compatibile cu definițiile COSO ERM (care sunt echivalente cu ISO 
31000). Ambele concepte sunt introduse în modelul de risc IT. 
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Apetitul pentru risc este „valoarea de risc”, în sens larg, pe care o societate sau altă entitate este 
dispusă să o accepte, în exercitarea misiunii sale (sau viziunii). 
Atunci când se analizează nivelurile apetitului de risc pentru întreprindere, sunt importanţi doi factori 
majori: 
a) Capacitatea întreprinderii în raport cu obiectivul de a absorbi pierderile (de exemplu, pierderile 
financiare, afectarea reputației) 
b) Cultura managementului sau predispoziția fata de risc: prudentă sau agresivă. Aceasta se 
poate transpune în valoarea pierderilor pe care organizaţia vrea să o accepte la un momnent dat, 
în perspectiva unei redresări. 
Apetitul pentru risc poate fi definit în practică în termenii combinațiilor frecvenţei şi magnitudinii unui risc. 
Apetitul pentru risc este diferit în rândul organizaţiilor, neexistând absolut nici o normă sau standard 
privind ceea ce constituie un risc acceptabil şi inacceptabil. Fiecare întreprindere trebuie să definească 
nivelurile sale de risc propriu în ceea ce priveşte apetitul pentru risc şi să opereze revizuirea acestora în 
mod regulat. Această definiţie ar trebui sa fie în concordanţă cu cultura globală a riscurilor pe care intre- 
prinderea doreşte să o exprime, de exemplu, variind de la aversiunea fata de risc, la asumarea 
riscului/căutarea oportunităţilor. Nu există nici un cuantificator universal pentru „bun” sau ,rau”, dar 
riscurile trebuie să fie definite, bine înţelese şi comunicate. Apetitului pentru risc şi toleranța la risc ar 
trebui să fie aplicate nu numai în evaluările de risc, dar şi, în procesul de luare a deciziilor privind toate 
riscurile IT. 


Toleranta riscului este variaţia acceptabilă în raport cu realizarea unui obiectiv, cu alte cuvinte, este 
abaterea tolerabilă faţă de nivelul stabilit de către apetitul pentru risc şi de obiectivele afacerii (de 
exemplu, standardele care impun proiecte care urmează să fie finalizate la termen, cu bugetele financiare 
şi de timp estimate, dar admițând depasiri de 10% din buget sau 20% din timp). 


3.1.1 Scenarii de evaluare a riscurilor 


Scenariile de risc constituie instrumente de simulare a unor procese potenţiale reale, utilizate în scopul 
analizei de risc. 
Un scenariu de risc IT este o descriere a unui eveniment legat de IT care poate conduce la un impact 
asupra afacerii, la momentul şi în cazul în care ar trebui să apară. Pentru, acestea ar trebui să conţină 
următoarele componente: 
e Evenimentul: divulgare, întrerupere, modificare, furt, distrugere, proiectare ineficientă, execuţie 
ineficientă, reguli şi reglementări, utilizare neadecvată 
e  Bunuri/Resurse: personal şi organizare, proces, infrastructură (facilităţi), infrastructură IT, 
informaţie, aplicaţii 
e Timp: durată, momentul apariţiei (critic/non-critic), timp de detectare 
e Actori: interni (personal, contractori), externi (competitori, parteneri de afaceri, de reglementare, 
de piaţă) 
e Tip de amenințare: rău intenţionată, accidentală/eroare, cădere, cauză naturală, cerinţă externa. 


Structura scenariului de risc admite şi operează cu diferenţa între evenimentele distructive (evenimente 
care generează un impact negativ), vulnerabilitati sau evenimente generatoare de vulnerabilitati (eve- 
nimente care contribuie la amplificarea sau creşterea frecvenţei de apariţie a evenimentelor distructive) şi 
evenimente care constituie o ameninţare (circumstanţe sau evenimente care pot declanşa evenimente 
distructive). Este important să nu se confunde aceste riscuri sau să nu fie incluse într-o listă lungă de 
riscuri cu impact nesemnificativ. 


Factorii de risc pot fi, de asemenea, interpretati ca factori de cauzalitate ai scenariului, care se mate- 
rializează ca vulnerabilitati sau ca puncte slabe. Aceştia sunt termeni adesea folosiţi şi în alte cadre de 
gestionare a riscurilor. 
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3.1.2 Fluxul de activităţi pentru analiza riscurilor 


Fluxul de activităţi pentru analiza riscurilor include următoarele etape: 


1. Definirea domeniului de aplicare al analizei riscurilor - definirea obiectivelor şi a limitelor analizei, luând 
în considerare mai multe intrări variind de la întrebări strategice la investigarea evenimentelor frecvente. 
Acest pas se realizează cu date de intrare provenind de la reprezentanţii afacerii implicaţi în activitate. Ei 
trebuie să fie implicat în decizia privind activele şi zona luată în considerare. 


2. Colectarea datelor — trebuie obţinută asigurarea că toate sursele posibile sunt folosite pentru a aduna 
date relevante cu privire la evenimentele care au dus la un rezultat pozitiv şi / sau impact negativ asupra 
afacerii. Acestea includ: arhive cu incidente IT, rapoarte de audit şi jurnalele de operaţii, precum şi 
rapoartele anterioare de risc şi date externe, cum ar fi analiza tendinței IT şi modificările cadrului de 
reglementare. 


3. Identificarea factorilor generali de risc - trebuie obţinută asigurarea că evenimentele legate între ele 
sunt grupate în jurul factorilor generali de risc. Aceşti factori pot influenţa frecvenţa şi amplitudinea eveni- 
mentelor care au un impact semnificativ asupra afacerii. Ca exemple menţionăm modificările cadrului de 
reglementare şi activităţile internaţionale. 


4. Estimarea riscurilor IT - efectuarea analizei efective pentru a estima frecvenţa şi amplitudinea sce- 
nariilor, ţinând seama de factorii de risc care includ toate controalele curente. Trebuie să fie luată în consi- 
derare, de asemenea, definirea nivelelor de toleranţă. Acestea vor servi drept bază pentru determinarea 
răspunsului la risc. 


5. Identificarea opţiunilor de răspuns la risc - acest subiect include elaborarea viitoare a activităţilor de 
control ca mecanism de reducere a riscului. Acest pas trebuie să fie efectuat în colaborare cu proprietarii 
relevanti ai proceselor de afaceri care depind de domeniile IT care sunt evaluate. 


6. Revizuirea analizei - testarea rezultatelor înainte de raportarea acestora către management. Se vor lua 
în considerare mai mult decât verificările matematice. Raționamentul şi rezonabilitatea sunt concepte 
importante pentru a efectua testarea. Părţile interesate relevante cu privire la afacere trebuie să fie 
incluse în revizuirea evaluării rezultatelor. 


7. Raportarea - asigurarea managementului cu rezultatele analizei pentru a sprijini procesul decizional. 


3.1.3 Indicatori de risc 


Indicatorii de risc sunt valori capabile să demonstreze că întreprinderea este supusă, sau are o proba- 
bilitate mare de a fi supusă, unui risc care depăşeşte apetitul pentru risc definit. Ei sunt specifici pentru 
fiecare organizaţie, şi selectarea lor depinde de o serie de parametri în mediul intern şi extern, cum ar fi 
mărimea şi complexitatea întreprinderii, dacă acesta funcţionează într-o piaţă extrem de reglementată, 
precum şi focalizarea strategiei sale. 


Identificarea indicatorilor de risc ar trebui să ia în considerare următoarele măsuri (printre altele): 
e Implicarea diferitelor părţi interesate în selecţia indicatorilor de risc; 
e Efectuarea unei selecţii balansate a indicatorilor de risc, acoperind indicatorii de performanţă şi 
tendinţele, indicând ce capabilități sunt implementate pentru a preveni apariţia evenimentelor; 
e Asigurarea că indicatorii selectaţi se referă la cauza originii evenimentelor şi nu numai la 
simptome. 
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3.2 Probleme de audit asociate cu utilizarea sistemelor IT/IS 


Auditul sistemelor/serviciilor informatice® reprezintă o activitate de evaluare a sistemelor informatice 
prin prisma optimizării gestiunii resurselor informatice disponibile (date, aplicaţii, tehnologii, facilităţi, 
resurse umane etc.), în scopul atingerii obiectivelor entității, prin asigurarea unor criterii specifice: 
eficienţă, confidentialitate, integritate, disponibilitate, siguranţă în funcţionare şi conformitate cu un cadru 
de referinţă (standarde, bune practici, cadru legislativ etc.). 


Prin utilizarea sistemelor informatice, se modifică abordarea auditului datorită noilor modalităţi de 
prelucrare, stocare şi prezentare a informaţiilor, furnizate de aplicaţiile informatice, fără a schimba însă 
obiectivul general şi scopul auditului. 

Procedurile tradiţionale de colectare a datelor şi de interpretare a rezultatelor sunt înlocuite, total sau 
parţial, cu proceduri informatizate. Existenţa sistemului informatic poate afecta sistemele interne de 
control utilizate de entitate, modalitatea de evaluare a riscurilor, performanţa testelor de control şi a 
procedurilor de fond utilizate în atingerea obiectivului auditului. 


Cu toate că prezenţa tehnologiei informaţiei nu modifică obiectivele fundamentale ale auditului, prin 
specificul lor, sistemele informatice pot influenţa opinia auditorului cu privire la risc sau pot impune ca 
auditorul să adopte o abordare diferită a misiunii de audit. 
Principalele aspecte implicate de auditarea în mediul informatizat, care pot induce ambiguitati sau erori 
pe parcursul auditului, sunt: 
(a) se poate permite anonimatul prin depersonalizarea utilizatorului şi, implicit, se poate reduce 
răspunderea; 
) se pot permite modificări neautorizate sau neautentificate ale datelor contabile; 
c) se poate permite duplicarea intrărilor sau a prelucrărilor; 
d) sistemele informatice sunt vulnerabile la accesul de la distanţă şi neautorizat; 
e) se pot ascunde sau se pot face invizibile unele procese; 
f) se poate şterge sau ascunde pista de audit; 
g) se pot difuza date, în mod neautorizat, în sistemele distribuite; 
h) aplicaţiile pot fi operate de contractanti externi, care utilizează standarde şi controale proprii 
sau pot altera informaţiile în mod neautorizat. 


b 
( 
( 
( 
( 
( 
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În cazul auditului unui sistem informatic care furnizează informaţii relevante pentru o misiune de audit 
financiar, evaluarea sistemului informatic se efectuează în scopul furnizării unei asigurări rezonabile 
privind funcţionarea sistemului, necesare auditului financiar la care este supusă entitatea. 


În cazul în care informaţiile necesare auditului sunt furnizate de aplicaţii sau sisteme complexe, este 
necesară consultarea sau participarea în cadrul echipei de audit a unui specialist care posedă cunoştinţe 
şi aptitudini specializate în domeniul auditului sistemelor informatice, pentru a evalua sistemul. De ase- 
menea, va colabora cu auditorii în scopul înţelegerii semnificației şi complexităţii procedurilor informatice, 
a prelucrării datelor furnizate de sistemul informatic, precum şi pentru înţelegerea sistemului de control 
intern, în scopul planificării şi abordării auditului, adecvate la noile tehnologii şi va formula recomandări 
privind punctele slabe ale sistemului informatic, în vederea remedierii anomaliilor constatate. 

Evaluarea va avea ca rezultat formularea unei opinii privind încrederea pe care o asigură sistemul 
informatic, în condiţiile utilizării sale ca sursă de informaţii sau ca suport în cadrul misiunii de audit. 


64 in funcţie de problematica referită, în cadrul prezentului document se folosesc şi variantele distincte audit IT/audit IS, cu 
semnificaţia corespunzătoare, respectiv auditul arhitecturilor şi infrastructurilor IT (hardware, software, comunicaţii şi alte 
facilităţi utilizate pentru introducerea, memorarea, prelucrarea, transmiterea şi ieşirea datelor, în orice formă), precum şi auditul 
sistemelor, aplicaţiilor şi serviciilor informatice. 
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Complexitatea sistemului informatic este conferită de o serie de caracteristici relative la: volumul 
tranzacţiilor, procedurile de validare a datelor sau a transferurilor de date între aplicaţii, generarea auto- 
mată a tranzacţiilor, comunicaţia cu alte aplicaţii sau sisteme informatice, complexitatea algoritmilor de 
calcul, utilizarea unor informaţii provenite din surse de date externe (existente la alte entități) fără 
validarea acestora. 


Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrări adiţionale, prin furnizarea 
informaţiilor solicitate în formate cerute de auditor, în scopul interpretării sau al utilizării ca date de intrare 
pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creşterea 
performanţei în efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum 
şi a performanţei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator. 


Sistemele informatice au unele caracteristici inerente care pot afecta atât abordarea auditului, cât şi 
evaluarea efectuată de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic 
sporesc acest risc şi reclamă o atenţie specială din partea auditorului. În secţiunile care urmează prezintă 
scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectele esenţiale care trebuie avute în 
vedere: responsabilitatea, vulnerabilitatea la modificări, uşurinţa copierii, riscurile accesului de la distanţă, 
procesare invizibilă, existenţa unui parcurs al auditului, distribuirea datelor, încrederea în prestatorii de 
servicii IT şi utilizarea înregistrărilor furnizate de calculator ca proba de audit. 


3.2.1 Responsabilitatea 


Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica şi înregistra acţiunile 
utilizatorilor individuali nu pot să-i facă ulterior răspunzători de acţiunile lor. Utilizatorii sunt mult mai 
înclinați să efectueze activităţi informatice neautorizate daca nu pot fi identificaţi şi traşi la răspundere. 
Riscul procesării de tranzacţii neautorizate poate fi redus prin prezenţa unor controale care identifică 
precis utilizatorii individuali şi înregistrează acţiunile acestora. Deţinători de sisteme IT / IS pot reduce 
riscul asociat cu utilizatorii anonimi, în primul rând, prin atribuirea de coduri unice de identificare 
utilizatorilor şi, în al doilea rând, prin obligaţia de a-şi autentifica identitatea atunci când intră în sistem. 
Parola este cea mai utilizată metodă de autentificare a identităţii utilizatorului. 

Pentru a creşte gradul de răspundere se pot adăuga tranzacţiilor controale suplimentare, sub formă de 
semnături electronice. 


3.2.2 Vulnerabilitatea la modificări 


În mod normal calculatoarele stochează atât datele tranzacţiei, cât şi programul informatic într-o formă 
intangibilă pe medii magnetice (discuri şi/sau benzi magnetice) sau optice (CD-ROM, DVD). Natura 
mediilor magnetice este astfel concepută încât se pot aduce modificări fie datelor, fie aplicaţiilor fără a 
lăsa nici o urmă. Auditorii trebuie să evalueze existenţa şi eficienţa controalelor care previn efectuarea de 
modificări neautorizate. Controale neadecvate pot conduce la situaţia ca auditorul să nu poată acorda 
încredere înregistrărilor din calculatoare sau integrităţii parcursului auditului. 


Programele de aplicaţie şi datele tranzacţiei trebuie să fie protejate fata de modificări neautorizate prin 
utilizarea de controale adecvate ale accesului fizic şi logic. Controalele de acces fizic includ instalarea de 
bariere fizice pentru restricționarea accesului în sediu, în clădiri, în sălile de calculatoare şi la fiecare 
componentă de hardware. Controalele accesului logic sunt restricţii impuse de software-ul calculatorului. 


Platile prin calculator, precum şi transferurile electronice de fonduri permit modificări neautorizate, mult 
mai uşor decât instrumentele de plată pe hârtie şi deci trebuie să aibă o protecţie adecvată. Integritatea 
tranzacţiilor electronice poate fi protejată prin tehnici, precum criptarea datelor, semnături electronice sau 
utilizarea unui algoritm de dispersare a datelor. 
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3.2.3 Usurinta la copiere 


Copiile datelor informatice pot să fie confundate cu originalul (prin listare, copiere pe suporţi magnetici sau 
optici sau prin transfer electronic). Dacă datele au valoare financiară, precum în sistemele de transfer 
electronic de fonduri, prevenirea dublării tranzacţiilor este în mod deosebit importantă. Sistemele 
informatice trebuie să încorporeze controale care să detecteze şi să prevină procesarea de tranzacții 
duble. 


Controalele adecvate pot include atribuirea de numere secvențiale tranzacţiilor şi verificarea de rutină a 
totalurilor de control. Controalele manuale, precum ştampilarea fizică sau anularea formularelor de 
introducere în calculator pot de asemenea reduce riscul procesării duble. 


Auditorii trebuie să fie conştienţi de eventualele probleme în cazul în care instrumente negociabile sunt 
stocate şi schimbate prin intermediul calculatorului. În astfel de circumstanţe poate fi adecvat să se 
utilizeze intermedierea unei terţe parti de încredere. Terta parte de încredere va acţiona ca registrator şi 
va tine o evidenţă a proprietarului înregistrat cu instrumente negociabile particulare. La finalizarea con- 
tractului, cumpărătorul va aştepta confirmarea că vânzătorul are drept de proprietate asupra instru- 
mentului, înainte de a autoriza plata. Acest aranjament va preveni ca documentele electronice să fie 
negociate de două ori. 


3.2.4 Usurinta accesului de la distanţă 


Fişierele pe hârtie pot fi uşor protejate fata de accesul neautorizat prin instalarea de lacate la uşi, fişete, 
supraveghere video, alarme anti-efractie şi altele. Mijloace similare de protecţie pot fi utilizate pentru 
protecţia dispozitivelor detaşabile de stocare de date, precum benzile magnetice şi dischetele. Dacă 
datele sunt accesibile într-o reţea de calculatoare, atunci poate apărea un grad de incertitudine cu privire 
la persoana care are acces la software şi la fişierele de date. 


Este foarte frecvent cazul entităţilor care îşi conectează sistemele de calculatoare la reţeaua Internet. 
Aceste conectări măresc substanţial riscul de acces neautorizat de la distanţă şi de atacuri cu viruşi şi 
viermi. Protejarea reţelelor conectate la Internet poate fi dificil de realizat şi necesită un grad înalt de 
cunoştinţe specializate. 


Unele sisteme de operare asigură controale ale accesului care limitează capacitatea utilizatorilor de la 
distanţă să vadă, să modifice, să şteargă sau să creeze date. Controalele de acces ale sistemului de 
operare pot fi extinse cu controale suplimentare de identificare şi autorizare în cadrul fiecărei aplicaţii. În 
ambele cazuri, eficienţa controalelor de acces depinde de existenţa unor proceduri puternice de iden- 
tificare şi autentificare şi de o bună administrare a sistemelor de securitate. 


3.2.5 Procesare invizibilă 


Procesarea tranzacţiilor care are loc in interiorul calculatorului este efectiv invizibilă pentru auditor. 
Auditorii pot vedea ce informaţii intră şi ce rezultate sunt obţinute, dar au puţine cunoştinţe cu privire la ce 
se întâmplă pe parcurs. Această slăbiciune poate fi exploatată prin intermediul unor programe 
neautorizate ascunse în programele autorizate. Amenințarea indusă de modificările de program 
neautorizate poate fi redusă prin adoptarea de proceduri adecvate de control al modificărilor, inclusiv prin 
controale de acces eficiente, activităţi de înregistrare (logging), revizuirea logurilor respective şi o 
separare eficientă a sarcinilor între dezvoltatorii de programe, personalul de operare a calculatoarelor şi 
utilizatorii finali. 
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3.2.6 Existenţa unui parcurs al auditului 


În cazul în care parcursul auditului se bazează pe înregistrări stocate pe un calculator, auditorul trebuie să 
se asigure că datele privind tranzacţia sunt păstrate un timp suficient şi că au fost protejate faţă de 
modificări neautorizate. Capacitatea limitată de stocare a unor calculatoare poate restricționa cantitatea 
de date istorice privind tranzacţiile, care poate fi păstrată. În aceste cazuri, auditorul poate şi trebuie să 
insiste să se arhiveze regulat evidenţele contabile şi să fie păstrate într-un mediu sigur. Auditorul poate, 
de asemenea, să analizeze impactul posibil al regulilor de arhivare a datelor entității când planifică 
auditul. 


3.2.7 Date distribuite 


Calculatoarele în reţea au capacitatea de a stoca aplicaţii financiare şi fişiere de date pe orice dispozitive 
de stocare din reţea. Auditorul se poate afla în faţa unui sistem care rulează o aplicaţie financiară pe un 
calculator şi stochează fişierele cu tranzacţii procesate pe un calculator din altă sală, din altă clădire sau 
chiar din altă ţară. 

Procesarea datelor distribuite poate implica creşterea resurselor necesare pentru analiza sistemelor 
informatice ale entității auditate şi poate complica evaluarea de către auditor a controalelor de acces fizic 
şi logic. Mediul de control poate fi foarte bun într-o locaţie, dar foarte slab în altă locaţie. 


3.2.8 Încrederea în prestatorii de servicii IT 


Serviciile IT sunt asigurate in general în unul din următoarele trei moduri: 
e in interiorul organizaţiei de către departamentul IT propriu - sistemele informatice aparţin 
clientului şi sunt operate de angajaţii săi; 
e prin externalizarea managementului facilitatilor — sistemul este deţinut de client, iar operaţiile 
zilnice şi activităţile de întreţinere sunt contractate cu un furnizor de servicii de terță parte; sau 
e prin externalizarea integrală a serviciilor IT — atât sistemele informatice, cât şi echipa IT sunt 
asigurate de o terță parte. 


Când o entitate utilizează serviciile IT ale unei terțe parti, auditorul va trebui să analizeze existenţa 
drepturilor de inspecţie şi gradul asigurării de audit, dacă există, care ar putea fi furnizate de auditorii 
interni sau de auditorii externi ai furnizorului de servicii IT. 


Pentru o aplicaţie IT bine controlată se poate face distincţia între deţinător, utilizatorii sistemului şi 
prestatorii de servicii IT. Detinatorul aplicaţiei este de obicei utilizatorul initial al aplicaţiei şi acesta va fi 
responsabil pentru formularea şi comunicarea cerinţelor către prestatorii de servicii IT. Auditorul va trebui 
să verifice dacă deţinătorii au prezentat o declaraţie adecvată a cerinţelor de control şi daca prestatorii IT 
au reflectat satisfăcător cerinţele cu privire la modul în care este controlat sistemul IT. 


3.2.9 Utilizarea înregistrărilor furnizate de calculator ca probă de 
audit 


Principiile referitoare la probele de audit nu se schimbă datorită faptului că auditul se realizează într-un 
mediu informatizat. Înregistrările furnizate de calculator sub formă de date pe discuri magnetice sau 
discuri optice pot oferi auditorului probe de audit. Auditorul poate, de asemenea, să genereze probe de 
audit utilizând tehnicile de audit asistat de calculator. 


Sunt puţine precedente care se adresează admisibilitatii înregistrărilor din calculator la o instanţă 
judiciară. In cazurile în care probele informatice au fost depuse în acţiuni judiciare, instanţele au luat în 
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considerare o expertiză cu privire la eficienţa mediului de control IT, înainte de a evalua fiabilitatea datelor 
informatice. 


Auditorul va avea in vedere faptul că tranzacţiile sau imaginile de documente provenind de la calculator 
pot să nu fie admise ca probe în justiţie dacă nu se poate arăta că există controale destul de puternice 
pentru a înlătura dubiul rezonabil privind autenticitatea şi integritatea datelor conţinute în sistem. 


3.3 Probleme cu impact semnificativ asupra riscului de audit 


În cazul informatizării unei parti semnificative a activităţii entității, se impune evaluarea influenței 
utilizării sistemului informatic asupra riscurilor auditului (inerent şi de control), având în vedere aspectele 
legate de relevanta şi credibilitatea probelor de audit. Vom prezenta în continuare o serie de probleme 
tipice cu impact semnificativ asupra riscului de audit. 


(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le 
parcurge tranzacţia, generându-se în cele mai multe cazuri numai o formă finală şi uneori numai 
în format electronic sau disponibilă numai pentru o perioadă scurtă de timp. În lipsa unor 
proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de 
audit fiind neconcludentă. 


(b) Alterarea probelor de audit poate fi cauzată de existenţa unor anomalii sau erori sistematice ale 
funcţionării programelor, care afectează prelucrarea întregului fond de date şi duc la obţinerea 
unor rezultate eronate, greu de corectat prin proceduri manuale, având în vedere volumul mare 
al tranzacţiilor şi complexitatea algoritmilor de prelucrare. 


(c) Concentrarea operării unor proceduri cu funcţionalitate incompatibilă la nivelul aceluiaşi individ, 
proceduri care, potrivit legislaţiei sau reglementărilor interne privind separarea atribuţiilor, ar 
trebui operate de către persoane diferite, generează executarea unor funcţii incompatibile şi 
posibilitatea accesului şi alterării conţinutului informaţional în funcţie de interese personale. O 
cerință importantă legată de operarea sistemului informatic este distribuirea aplicaţiilor în cadrul 
entității şi alocarea drepturilor de utilizare în conformitate cu necesitatea separării atribuţiilor, 
impusă de legislaţie. 


(d) Datorită intervenţiei umane, care nu are întotdeauna asociate protectii stricte privind autorizarea 
accesului şi intervenţia asupra fondului de date, în dezvoltarea, întreţinerea şi operarea 
sistemului informatic, există un potenţial foarte mare de alterare a fondului de date fără o dovadă 
explicită. 


(e) Ca urmare a gestionării automate a unui volum mare de date, fără implicare umană, există riscul 
nedetectării pentru o perioadă lungă de timp a unor erori datorate unor anomalii de proiectare 
sau de actualizare a unor componente software. 


(f) În cazul unor proceduri sau tranzacţii executate in mod automat, autorizarea acestora de către 
management poate fi implicită prin modul în care a fost proiectat şi dezvoltat sistemul informatic 
şi pentru modificările ulterioare, ceea ce presupune lipsa unei autorizări similare celei din 
sistemul manual, asupra procedurilor şi tranzacţiilor. 


(9) Eficacitatea procedurilor manuale de control este afectată de eficacitatea controalelor IT în si- 
tuatia in care procedurile manuale se bazează pe documente şi rapoarte produse in mod 
automat de sistemul informatic. 
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(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei 
informaţiei, are efecte în planul monitorizării activităţii entității prin utilizarea unor instrumente 
analitice oferite de sistemul informatic. 


(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor şi 
instrumentelor asistate de calculator, este facilitată de existenţa unor proceduri de prelucrare şi 
analiză oferite de sistemul informatic. 


(|) Evaluarea riscurilor în cazul misiunilor de audit în mediu informatizat trebuie să aibă în vedere 
probabilitatea obţinerii unor informaţii eronate cu impact semnificativ asupra auditului ca rezultat 
al unor deficienţe în funcţionarea sistemului informatic,. Aceste deficienţe pot fi legate atât de 
calitatea infrastructurii hardware şi/sau software, de dezvoltarea şi întreţinerea aplicaţiilor, de 
operarea sistemului, de securitatea sistemului şi a informaţiilor, de calitatea personalului implicat 
în funcţionarea sistemului, de calitatea documentaţiei tehnice, cât şi de intervenţiile neautorizate 
asupra aplicaţiilor, bazelor de date sau condiţiilor procedurale impuse în cadrul sistemului. 


Evaluarea riscurilor are în vedere următoarele tipuri de analize: 


a) Dacă utilizarea sistemului se realizează în cadrul unei structuri clar definite, conducerea este 
informată despre activitatea IT şi este receptivă la schimbare, gestionarea resurselor umane se face 
eficient, monitorizarea cadrului legislativ şi a contractelor cu principalii furnizori se desfăşoară cores- 
punzător, are loc revizuirea functionalitatii, operării şi dezvoltărilor de componente, astfel încât 
acestea să fie în concordanţă cu necesităţile activităţii entității şi să nu expună entitatea la riscuri 
nejustificate; 

b) Dacă accesul neautorizat la datele sau programele critice este prevenit şi controlat, mediul în care 
operează sistemele este sigur din punct de vedere al confidentialitatii, integrităţii şi credibilitatii: 

c) Dacă aplicaţiile sunt disponibile atunci când este nevoie, funcţionează conform cerinţelor, sunt fiabile 
şi au implementate controale sigure asupra integrităţii datelor; 

d) Dacă sunt luate măsurile necesare pentru diminuarea riscului deteriorării (accidentale sau deliberate) 
sau a furtului echipamentelor IT, se acţionează corespunzător pentru reducerea probabilității apariţiei 
unor defecţiuni majore şi sunt stabilite măsurile necesare pentru ca, în cazul indisponibilizării facili- 
tatilor de procesare, entitatea să îşi reia in mod eficient activitatea, într-o perioadă de timp rezonabilă; 

e) Dacă personalul este pregătit şi are capabilitățile necesare pentru operarea şi întreţinerea sistemului; 

f) Dacă sistemul informatic este conform cu cerinţele proiectului şi cu reglementările aplicabile în 
vigoare. 


În proiectarea procedurilor de audit, se vor lua în considerare restricţiile impuse de mediul informatic şi se 
vor alege soluții care să reducă riscul de audit: proceduri manuale de audit, tehnici de audit asistat de 
calculator, o soluţie mixtă, în scopul obţinerii unor probe de audit de încredere. 


3.4 Model de management al riscurilor IT 


Argumentul fundamental al auditării bazate pe risc este acela că livrarea serviciilor informatice joacă un 
rol semnificativ în toate aspectele activităţilor unei organizaţii. Impactul asupra unei afaceri, în condiţiile în 
care anumite parti ale livrării serviciilor IT eşuează, este adesea critic, motivul fiind, în cele mai multe 
cazuri, lipsa informării privind riscurile potenţiale. 

Din acest motiv, în manual este prezentat un model care descrie serviciile informatice specifice 
administraţiei publice şi riscurile asociate care apar cel mai frecvent. 

Ceea ce este indispensabil în tratarea riscurilor, pe lângă identificarea, evaluarea şi analiza acestora, 
este dezvoltarea unei strategii pentru managementul riscurilor. Pentru completitudine, pe lângă evaluarea 
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riscurilor, în lucrare sunt descrise atât impactul pe care acestea îl au asupra organizaţiei cât şi strategiile 
tipice de management al riscurilor recomandate. 


Sunt necesare informaţii pentru a cunoaşte ce acţiuni ar putea evolua într-o direcţie greşită, care sunt 
cauzele şi probabilitatea unui impact posibil, care este probabilitatea ca un risc identificat să apară, ce 
trebuie făcut pentru a preveni apariţia unui risc, ce ar trebui ştiut dacă acest risc apare, ce ar trebui făcut 
pentru a diminua impactul riscului, precum şi dacă acţiunile alternative ar putea produce alte riscuri şi 
dacă acestea pot fi mai severe. 


Realizarea efectivă a managementului riscurilor se asigură printr-o secvenţă complexă de acţiuni care 
include: 
) Stabilirea obiectivelor şi contextului (mediul riscurilor) 
) Identificarea riscurilor 
) Analiza riscurilor identificate 
) Evaluarea riscurilor 
) Tratarea sau managementul riscurilor 
Monitorizarea şi revizuirea cu regularitate a riscurilor şi a mediului acestora 
) Raportarea riscurilor 


Acestea sunt trecute în revistă pe scurt, urmând a fi tratate în detaliu în conţinutul manualului. 


a) Stabilirea obiectivelor şi contextului (mediul riscurilor) 
Scopul acestei etape a planificării este înţelegerea mediului în care operează afacerea, atât mediul de 
operare extern, cât şi cultura internă a organizaţiei. 
Analiza are în vedere stabilirea contextului strategic, organizational şi de management al riscurilor afacerii 
şi identificarea constrângerilor şi a oportunităţilor mediului de operare. În urma analizei efectuate rezultă 
punctele slabe, oportunităţile şi priorităţile afacerii. De asemenea, se stabileşte obiectivul afacerii fata de 
care se efectuează evaluarea riscurilor. 
Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 

+ analiza unor documentatii relevante ale organizaţiei, 

+ examinarea obiectivelor afacerii, 

+ analiza planurilor de afaceri, 

+ analiza managementului riscurilor, 

+ identificarea vulnerabilitatilor cu privire la intenţiile conducerii în legătură cu atingerea 

obiectivelor, analize SWOT® şi PEST66. 


b) Identificarea riscurilor 
Prin utilizarea informaţiilor colectate în legătură cu contextul, se identifică riscurile care vor afecta cu cea 
mai mare probabililtate îndeplinirea obiectivelor afacerii. 
Intrebările cheie care trebuie formulate pentru a identifica riscurile sunt: 
e când, unde, de ce şi cum este probabilă apariția riscurilor? 
+ care sunt riscurile asociate cu rezultatele fiecăreia dintre priorităţile organizaţiei? 
e care sunt riscurile de a nu atinge aceste priorităţi? 
+ cine ar putea fi implicat în apariţia unor riscuri? 


Paşii care se parcurg în etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea 
surselor de risc, identificarea impactului riscului. 
Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 

* generarea de scenarii privind posibilele surse de risc 

+ liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraudă 


65 SWOT - Strength, Weaknesses, Opportunities and Threats 
66 PEST - Political, Economic, Societal and Technological 
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+ analiza riscurilor tipice în fazele proceselor de achiziţii 

+ scenariul de planificare, ca instrument de evaluare a riscurilor 

+ harta proceselor 

e documentatii, rapoarte de audit, rapoarte de evaluare şi/sau de cercetare. 


c) Analiza riscurilor 

In etapa de identificare a controalelor asociate riscurilor si a eficacităţii acestora asupra riscurilor 
respective, pentru fiecare risc se stabilesc controale adecvate şi eficace pentru prevenirea sau pentru 
minimizarea impactului acestuia. Eficacitatea controlului se apreciază prin unul dintre calificativele: 
neadecvat, moderat, adecvat. Aceste controale se iau în considerare în strategia de tratare a riscului. 


Pentru fiecare risc trebuie definit profilul prin definirea probabilității şi a unor criterii privind consecinţele. 


Intrebările cheie care trebuie formulate pentru definirea probabilității şi a unor criterii privind consecinţele 
apariţiei riscurilor sunt: 
+ Cât de serioase sunt consecinţele dacă riscul apare? 
+ Care este probabilitatea ca riscul să apară? 
+ Care este nivelul de risc acceptat? 
Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 
+ identificarea controalelor asociate riscurilor şi a eficacitatii acestora 
+ definirea probabilității şi a consecinţelor (matricea riscurilor). 


d) Evaluarea riscurilor 
In procesul de evaluare a riscului este necesară stabilirea nivelului de risc ca fiind acceptabil sau 
inacceptabil. 
Riscul acceptabil va fi stabilit de raportul dintre importanţa informaţiei şi sursele de finanţare existente 
pentru obţinerea şi gestionarea acesteia. 
Dacă riscul este acceptabil nu sunt necesare tratări suplimentare pe lângă controalele curente. Riscurile 
acceptabile trebuie să fie monitorizate şi revizuite periodic pentru a avea asigurarea că rămân 
acceptabile. 
Dacă riscul este inacceptabil este necesară tratarea corespunzătoare a acestuia. 
Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 

+ analize comparative 

+ analize de costuri 

e modul de percepere a amenințării 

+ analiza efectelor potenţiale. 


e) Tratarea sau managementul riscurilor 

Obiectivul acestei etape a procesului de evaluare a riscului este de a găsi opţiuni cu costuri mici pentru 
tratarea riscului. Metodele de tratare sunt: prevenirea riscului, reducerea riscului, transferarea riscului 
către altă zonă şi tratarea propriu-zisă a riscului. Pentru fiecare risc se determină opţiunile de tratare care 
vor fi implementate, se determină nivelul de risc, se alocă responsabilitatile şi se elaborează graficul de 
implementare. 

Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 


+ identificarea opţiunilor pentru tratarea riscurilor 

* prevenirea riscului 

+ reducerea riscului 

+ transferarea riscului (de exemplu, externalizarea activităţilor) 

e tratarea riscului 

+ analiza cost/beneficiu 

+ identificarea opţiunilor care trebuie implementate pentru tratarea riscului potential 
+ determinarea nivelului ţintă al riscului 
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+ alocarea responsabilitatilor 
+ elaborarea graficului de implementare. 


f) Monitorizarea riscurilor 
Riscurile şi priorităţile asociate nu rămân constante, fiind necesară o monitorizare continuă a riscurilor 
identificate şi a riscurilor noi. 
Pentru monitorizarea riscurilor trebuie stabilite: modul de măsurare a prelucrărilor, termene, analize com- 
parative, cine are responsabilitatea revizuirii, stadiul tratării riscurilor, frecvenţa revizuirilor. 
Metodele şi tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: 

+ elaborarea şi îndeplinirea planurilor de acţiuni, 

+ analize comparative 

+ raportarea riscurilor 


9) Raportarea riscurilor 

Este necesară implementarea unui cadru de lucru care să permită persoanelor responsabile să prezinte 
rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, iden- 
tificarea unor riscuri noi cu implicaţii pentru afacere. 


Riscurile neacceptabile şi strategiile de tratare a acestora trebuie incluse în planurile de afaceri ale orga- 
nizatiei. 


3.5 Riscurile generate de existenţa mediului informatizat 


Înțelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum şi a 
procedurilor de evaluare şi management al riscurilor este fundamentală în efectuarea auditului. 


Evaluarea riscurilor generate de funcţionarea sistemului informatic, prin analiza unor factori cu impact în 
desfăşurarea activităţii entității auditate, respectiv: dependenţa de IT, resurse şi cunoştinţe IT, încrederea 
în IT, schimbări în IT, externalizarea IT, securitatea informaţiei, evaluarea sistemelor IT prin prisma 
respectării legislaţiei în vigoare, este esenţială. 


Pornind de la aceste considerente, auditarea managementului serviciilor IT, bazate pe principiile evaluării 
şi managementului riscurilor este indispensabilă pentru dezvoltarea unei strategii adecvate în acest 
domeniu. 


3.5.1 Dependenţa de IT 


Dependenţa de tehnologiile informaţiei este un factor cheie în condiţiile în care tendinţa actuală este de a 
se generaliza utilizarea calculatoarelor în toate domeniile economice şi sociale. 

În scopul evaluării dependenței conducerii de tehnologiile informaţiei, auditorul va examina următoarele 
aspecte relevante: gradul de automatizare al entității, complexitatea sistemelor informatice utilizate şi 
timpul de supravieţuire al entității în lipsa sistemului IT. 


Factori de risc 


(a) Gradul de automatizare se determină prin inventarierea echipamentelor şi tehnologiilor software 
existente, aprecierea numărului şi importanţei sistemelor informatice sau aplicaţiilor care funcţionează şi 
sunt utilizate în cadrul entității pentru conducerea proceselor, evaluarea ponderii activităţilor informatizate 
în totalul activităţilor entității, precum şi a gradului de acoperire a necesităţilor în compartimentele fun- 
Ctionale şi la nivelul conducerii. 
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(b) Complexitatea sistemelor IT este determinată de complexitatea şi specificul activităţii (economică, in- 
dustrială, socială, culturală, de învăţământ, cercetare etc.) şi poate fi caracterizată de volumul tranzacţiilor 
gestionate de sistemele informatice, de forma de prezentare (alfanumerică, multimedia, analogică), de 
tehnologia folosită, de modul de operare (în timp real sau în loturi), de volumul tranzacţiilor generate 
automat de către aplicaţii. 


(c) Timpul de supravieţuire fără IT poate fi un factor de risc major în cazul sistemelor pentru care timpul 
de răspuns este critic (mai ales pentru sistemele cu funcţionare în timp real), al sistemelor care prelu- 
crează un volum mare de tranzacţii, al sistemelor care au la bază algoritmi şi modele complexe a căror 
rezolvare nu se poate efectua manual, precum şi în entităţile care au întreaga activitate informatizată iar 
substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibilă. În unele 
cazuri, întârzierile datorate nefunctionarii sistemului informatic se transferă în costuri semnificative 
suportate de către entitate, cu impact major asupra afacerii. 


3.5.2 Resurse şi cunoştinţe IT 


Politica de personal şi de instruire 


Erorile şi omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de 
greşelile umane, entitatea trebuie să implementeze controale şi proceduri în cadrul unor politici de 
personal adecvate: 


e o structură organizaţională clară, formalizată în organigrama entității; 
+ descrierea posturilor; 

+ planificarea personalului; 

e instruirea şi dezvoltarea personalului; 

e politici de angajare/concediere (inclusiv coduri de conduită); 

e evaluarea personalului (promovare/retrogradare); 

+ contracte speciale; 

e rotația personalului; 

e concediile personalului. 


Factori de risc 


(a) Aptitudinile curente se constituie în cadrul structurii profesionale a angajaţilor IT prin acţiuni care 
influențează nivelul de pregătire al angajaţilor IT în raport cu necesităţile entității. Se determină prin 
evaluarea personalului IT şi prin analiza diseminării cunoştinţelor la nivelul întregului personal. Este de 
dorit ca aceste cunoştinţe să nu fie concentrate la nivelul unui număr restrâns de personal. 


(b) Resursele comparate cu volumul de muncă indică gradul de încărcare a personalului şi acoperirea în 
raport cu cerinţele activităţii entității. Este un factor de risc important întrucât repartizarea dezechilibrată a 
sarcinilor poate genera suprasolicitare si, implicit, insatisfactia personalului. 


(c) Structura conducerii departamentului IT este determinantă în ceea ce priveşte coordonarea proiectelor 
informatice şi valorificarea rezultatelor implementării şi utilizării acestora pentru asigurarea succesului 
afacerii. 


(d) Fluctuatia personalului se referă la o perioadă de un an şi este determinată în principal de satisfacția 
profesională şi materială şi de moralul personalului IT. 
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3.5.3 Încrederea în IT 


Încrederea actorilor implicaţi în utilizarea sistemelor informatice sau în valorificarea rezultatelor furnizate 
de acestea în cadrul unei entităţi (management, utilizatori, auditori) este determinată atât de calitatea 
informaţiilor obţinute, cât şi gradul în care se asigură utilizarea tehnologiilor informatice ca instrumente 
accesibile şi prietenoase în activitatea curentă. 


Factori de risc 


(a) Complexitatea sistemului şi documentaţia disponibilă. Sunt apreciate prin percepţia privind 
complexitatea calculelor şi a proceselor controlate de către sistemele IT, prin amploarea automatizării 
activităţilor desfăşurate în cadrul entității, prin calitatea şi varietatea interfetelor, prin informaţiile docu- 
mentare aferente utilizării aplicaţiilor şi sistemului. De asemenea, este relevantă opinia utilizatorilor despre 
dificultatea operării. 

Riscurile asociate unor politici neadecvate în ceea ce priveşte existenţa şi calitatea documentaţiei sunt 
generate de practici de lucru neautorizate adoptate de personalul IT, de creşterea numărului de erori pro- 
duse din această cauză de personalul IT, la care se adaugă şi dificultatea întreţinerii sistemului, precum şi 
dificultatea diagnosticării erorilor. 


Politica privind documentarea impune în primul rând păstrarea şi utilizarea documentaţiei actualizate la 
ultima versiune şi păstrarea unei copii a documentaţiei într-un loc sigur în afara sediului entității. 


(b) Integrarea/fragmentarea aplicațiilor. Opinia privind gradul de integrare a aplicaţiilor în sistem decurge 
din analiza arhitecturii acestuia. În cele mai multe cazuri entitatea nu deţine o soluţie integrată a siste- 
mului informatic, acesta fiind constituit din implementări de aplicaţii insularizate, dedicate unor probleme 
punctuale (aplicaţia financiar-contabilă, aplicaţii dedicate activităţii de bază a entității etc.). Acest tip de 
arhitectură prezintă dezavantaje la nivelul utilizării, precum şi o serie de impedimente cum ar fi: difi- 
cultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaţiilor şi a evita multiplicarea 
informaţiilor. Tranzacţiile sunt procesate în cadrul unor aplicaţii informatice distincte, informaţiile introduse 
în sistem sunt validate într-o manieră eterogenă, respectiv prin proceduri automate combinate cu pro- 
ceduri manuale, pentru a se asigura detectarea şi corectarea erorilor de intrare, precum şi detectarea 
inconsistentei sau redundantei datelor. Lipsa unei soluţii integrate se reflectă de asemenea în existența 
unor baze de date diverse, unele instalate pe platforme hardware/software învechite, existenţa unor 
interfeţe utilizator diferite şi uneori neadecvate, a unor facilităţi de comunicaţie reduse şi a unor probleme 
de securitate cu riscuri asociate. 


(c) Erori sistematice/interventii manuale. Pentru a evalua siguranţa în funcţionare şi pentru a detecta 
cauzele tipice în situaţia fiabilitatii scăzute a sistemului informatic, este necesară efectuarea unei exa- 
minări privind erorile raportate în cadrul utilizării sistemului şi în ce măsură este asigurat suportul tehnic 
pentru analiza şi corectarea acestora în mediul de producţie, în ce măsură datele generate de sistem 
suferă prelucrări manuale adiţionale din partea utilizatorilor, precum şi problemele de reconciliere între 
diverse sisteme informatice sau din cadrul sistemului (dacă există). După cum am menţionat în para- 
graful anterior, gradul ridicat de fragmentare al sistemului informatic implică acţiuni frecvente ale utili- 
zatorului în procesul de prelucrare şi influenţe în ceea ce priveşte respectarea fluxului documentelor, ceea 
ce creşte foarte mult riscul de eroare. 


(d) Scalabilitatea sistemului. În funcţie de soluţia arhitecturală implementată şi de estimările iniţiale privind 
dimensiunea bazei de date şi complexitatea prelucrărilor, un sistem poate "rezista" sau nu la creşteri sem- 
nificative ale volumului de tranzacţii generate de schimbări majore în activitatea entității. Estimarea 
riscului ca, în viitorul apropiat, sistemul informatic să nu poată suporta creşterea volumului de tranzacţii 
implică decizii importante la nivelul managementului, în sensul reproiectării acestuia, şi, implicit, privind 
alocarea unui buget corespunzător. 
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(e) Sisteme depăşite. Evolutiile remarcate în activitatea organizaţiilor, cât şi dinamica crescută în evoluţia 
tehnologiilor informaţiei se reflectă frecvent în dificultatea sau imposibilitatea adecvării ritmului schim- 
bărilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit în lipsa unui 
management al schimbării platformelor hardware/software corespunzător, prin adoptarea unor politici de 
înlocuire a sistemelor depăşite şi de creştere continuă a nivelului tehnologic. 


3.5.4 Schimbări în domeniul sistemelor IT/IS 


Cu toate că în urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de viata el 
trebuie întreţinut, schimbat sau modificat, fapt care are impact asupra controalelor existente şi poate 
afecta funcţionalitatea de bază a acestuia. Revizuirea controalelor schimbării şi schimbarea acestora sunt 
necesare pentru a asigura continuitatea sistemelor în ceea ce priveşte funcţionalitatea şi modul de 
operare. 


Factori de risc 


Controalele privind schimbarea sunt implementate pentru a asigura că toate schimbările configuraţiilor de 
sisteme sunt autorizate, testate, documentate, controlate, că sistemul operează potrivit cerinţelor şi este 
implementat un "traseu" adecvat al schimbărilor. Riscurile asociate cu controale ale schimbării neadec- 
vate sunt: 


= Schimbări neautorizate accidentale sau deliberate ale sistemelor: de exemplu, modificări 
neautorizate din partea programatorilor făcute în mediul de producţie; 


= Termene depăşite pentru implementarea unor probleme: de exemplu, schimbarea nu este 
efectuată la timp pentru a satisface cerinţele afacerii (o aplicaţie privind plata unor taxe la 
termene stabilite prin lege); 


=  Raportări şi prelucrări eronate: sisteme care nu efectuează prelucrările conform cerinţelor şi 
pot genera: plăţi eronate, raportări confuze etc.; 


=  Insatisfacţia utilizatorului: poate genera erori de introducere a datelor, moral scăzut al 
personalului, scăderea productivităţii, acţiuni sindicale; 


„Dificultăţi de întreţinere: calitatea scăzută a sistemelor care generează cheltuieli mari de 
întreţinere, calitatea scăzută sau lipsa documentaţiei tehnice, schimbările multiple ale 
sistemului fără o gestiune a versiunilor instalate în mediul de producţie, lipsa unor proceduri 
privind managementul problemelor; 


= Utilizarea de hardware şi software neautorizate: poate conduce la incompatibilitati între 
diferite parti ale sistemului, sau la incidenţa cu legislaţia referitoare la drepturile de autor; 


= Probleme privind schimbările de urgenţă: schimbările de urgenţă necontrolate în mediul de 
producţie pot conduce la alterarea sau pierderea datelor şi a fişierelor. 


Pentru evaluarea impactului pe care îl au schimbările sistemului informatic în viaţa organizaţiei se 
examinează următoarele aspecte: 


e Care sunt nivelul şi natura activităţii departamentului IT şi dacă sunt în desfăşurare proiecte 
semnificative. 

+ Daca achiziţia şi/sau dezvoltarea de programe s-au realizat pe baza cerințelor afacerii. 

e Care este reputaţia furnizorilor externi IT şi a sistemelor folosite în cazul achiziţiei de 
software, precum şi metodologia de dezvoltare internă a aplicaţiilor. 

e Daca noua platformă hardware/software are in vedere tehnologii de ultimă generaţie. 

+ În ce măsură se vor impune în viitorul apropiat modificări în sistemele IT generate de modi- 
ficări structurale ale proceselor afacerii. 
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3.5.5 Externalizarea serviciilor IT 


Externalizarea serviciilor se referă la furnizarea unor servicii IT, sau conexe acestora, de către o 
organizaţie independentă de entitatea auditata, prin următoarele forme: contract cu o terță parte pentru 
furnizarea completa a serviciilor IT către entitatea auditată (outsourcing), contract cu o terță parte pentru 
utilizarea curentă şi întreţinerea echipamentelor şi a aplicaţiilor care sunt în proprietatea entității auditate, 
precum şi contractarea unor servicii punctuale pe criterii de performanţă în funcţie de necesităţi şi de 
costurile pieţei, asociată cu diminuarea sau eliminarea anumitor părţi din structura departamentului IT, în 
cazul în care externalizarea funcţiilor aferente acestora este mai eficientă. 


Contractarea serviciilor IT este folosită pe scară largă in multe organizaţii şi este in continuă creştere. 
Principalele argumente pentru susţinerea opțiunii de externalizare a serviciilor sunt: 


e costurile: furnizorii de servicii IT oferă servicii mai ieftine decât soluţia in-house, prin exploa- 
tarea extensivă a configuraţiilor proprii; 


+  eşalonarea cheltuielilor. înlocuirea unor echipamente costisitoare generează cheltuieli 
iniţiale mari care se vor recupera într-un timp îndelungat, în timp ce plata eşalonată a 
serviciilor este suportată mai uşor de către entitate; 


+ recrutarea, formarea şi menţinerea personalului: entitatea elimină sarcinile legate de 
managementul resurselor umane; 


+ gestionarea capacităţii. furnizorul serviciilor IT este capabil să suplimenteze resursele IT în 
situaţii de supraîncărcare prin realocarea capacităţilor disponibile; 


+ furnizarea specialiştilor. entitatea poate avea nevoie temporară de specialişti pe anumite 
domenii, nejustificându-se angajarea permanentă a acestora; 


+ experiența şi expertiza: furnizorii de servicii IT dispun de o largă experienţă in multe 
sectoare de activitate şi în multe organizaţii, fiind capabili să ofere soluţii şi idei de 
perfecţionare pentru serviciile IT, care nu s-ar putea formula dacă aceste servicii ar rămâne 
in house; 


+ responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul 
contractului, pentru livrarea serviciilor la standardele şi preţurile stabilite; 


+ implementarea mai rapidă a noilor sisteme: furnizorii de servicii, datorită resurselor şi 
experienţei personalului implicat în permanenţă în dezvoltarea sistemelor, sunt capabili să 
implementeze la timp sisteme noi şi să gestioneze problemele care apar, referitoare la 
acestea. 


Opţiunea privind externalizarea serviciilor IT trebuie să se bazeze pe o bună cunoaştere a pieţei în scopul 
alegerii celei mai adecvate soluţii privind: reputaţia furnizorilor, costurile corelate cu calitatea serviciilor. 


Factori de risc 


Evaluarea riscurilor achiziţionării serviciilor IT de la un furnizor de servicii se face în funcţie de poziţia 
entității auditate in acest proces: entitatea auditată este furnizorul serviciilor IT sau entitatea auditata 
achiziţionează serviciile IT. Examinarea este diferită pentru fiecare caz în parte. Auditorul va revizui 
controalele specifice în funcţie de unghiul de vedere al auditului: controale de acces logice şi fizice, 
controale privind managementul schimbării etc. 


(a) Drepturi de acces în auditul extern. Auditorul extern poate avea nevoie să acceseze sistemele 
furnizorului de servicii pentru a verifica acurateţea prelucrărilor informaţiilor entității auditate şi că nu sunt 
factori semnificativi care ar putea să afecteze evaluarea auditorului referitoare la fraudă sau erori 
materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control 
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interne ale entității auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie să înţeleagă 
sistemele de control intern şi fluxul tranzacţiilor în sistem. Dacă auditorul extern decide că este necesar 
accesul direct la furnizorul de servicii, în contractul semnat cu furnizorul trebuie să existe o clauză în acest 
sens. 


(b) Prelucrarea erorilor. Pentru asigurarea că prelucrările efectuate de furnizor sunt corecte şi complete, 
clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite după 
ce prelucrarea s-a finalizat. Este necesară stabilirea unei proceduri privind reconcilierea, pentru cazul 
când sunt depistate erori de prelucrare. 


(c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat să menţină un nivel de 
securitate corespunzător în ceea ce priveşte informaţiile clientului. Există riscul ca standardele şi 
procedurile de securitate implementate de furnizor să fie sub nivelul adoptat de client. Pentru a reduce 
acest risc în contract trebuie incluse clauze care să stipuleze responsabilitatea furnizorului de a asigura 
securitatea datelor clientului în concordanţă cu un standard specific. 


(d) Dependenţa de furnizorul de servicii IT. Odată cu contractarea furnizării serviciilor IT, pentru client 
există riscul de a deveni dependent de un anumit furnizor de servicii cel puţin pe perioada contractului, 
majoritatea expertizei IT interne transferându-se în serviciile furnizorului. Devine dificilă renunţarea la 
furnizorul de servicii sau trecerea la un alt furnizor în condiţii limită (probleme legale, faliment, lichidare). 
Pentru a reduce riscul care decurge din dependenţa de serviciile existente, contractul trebuie să conţină 
clauze care să protejeze clientul, privind predarea lucrărilor după rezilierea contractului, pentru a uşura 
trecerea la alt furnizor şi a permite clientului să continue prelucrarea într-o manieră satisfăcătoare. 


(e) Pierderea flexibilitati. In procesul de contractare, clientul agreează cu furnizorul natura serviciilor ce 
vor fi furnizate. În cazul schimbărilor survenite în activitatea organizaţiei beneficiare, furnizorul nu este 
obligat să admită executarea noilor activităţi care, de fapt, nu fac obiectul contractului. Acest aspect se 
regăseşte în special în sectorul public unde dinamica schimbărilor este mare, acestea fiind determinate 
de schimbări de guvern sau de politică. Pentru reducerea riscului, clientul trebuie să includă în contract 
clauze privind schimbarea sistemului în condiţiile schimbării obiectivelor afacerii. 


(f) Costul schimbărilor. Dacă furnizorul de servicii IT nu are obligaţii contractuale în ceea ce priveşte 
schimbarea sistemului în concordanţă cu noile cerinţe este necesară încheierea unui act adiţional care în 
multe cazuri conţine o valoare mare. Clientul trebuie să-şi ia măsuri pentru a reduce riscul de a fi fortat sa 
plătească sume mari, ori de câte ori sunt necesare schimbări prin includerea în contract a unor clauze 
care să specifice costurile adiţionale pentru schimbări ale sistemelor, ale conţinutului serviciilor sau pentru 
schimbări în ceea ce priveşte volumul tranzacţiilor prelucrate. 


(9) Pierderea specialiştilor interni proprii şi a expertizei în domeniu. Prin contractarea serviciilor IT cu o 
terță parte, clientul nu mai are nevoie de specialişti IT la care renunţă, ceea ce îi reduce capacitatea de a 
gestiona problemele tehnice şi de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice 
determină necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este 
asumat din momentul luării deciziei de externalizare a serviciilor. 


(h) Rezistenţa personalului. În cazul variantei de externalizare pe criterii de performanţă, există riscul 
reacţiilor adverse din partea personalului care este în pericol să-şi piardă locul de muncă. Schimbările se 
reflectă în: numărul de ore de muncă, condiţiile de muncă, eşalonarea plăţilor, senzaţia de frustrare a 
salariaţilor, şi pot conduce la resentimente ale personalului, la scăderea productivităţii şi a performanţelor. 
Auditorul trebuie să ia în considerare aceste aspecte în evaluarea riscului unor comportamente care să 
conducă la activităţi neautorizate, fraudă sau sabotaj. 
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Contractul 


Reducerea riscurilor în cazul externalizării serviciilor IT este asigurată de clauzele contractuale care 
protejează ambele parti de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze 
referitoare la: durata contractului, condiţiile de reziliere, accesul pentru audit, definirea obligaţiilor, pena- 
litati, drepturile de proprietate intelectuală, proprietatea asupra datelor, condiţiile de predare la sfârşi- 
tul/intreruperea contractului, standarde de securitate, natura şi nivelul serviciilor, costuri aditionale/ comi- 
sioane, controlul schimbării. 


Contractele specifică detalii privind serviciile furnizate şi trebuie examinate de către auditor. Pentru 
asigurarea că serviciile sunt livrate în mod satisfăcător, clientul trebuie să stabilească proceduri de 
monitorizare care să includă întâlniri periodice şi la cerere între reprezentanţii managementului furni- 
Zorului şi ai clientului pentru a discuta asupra serviciilor livrate şi pentru rezolvarea problemelor apărute. 


În ceea ce priveşte dezvoltarea de sisteme informatice de către utilizatori, auditorul va evalua 
riscurile care decurg din dezvoltarea internă a sistemelor informatice (resurse de dezvoltare/implemen- 
tare/scolarizare etc.). Se vor trata diferențiat cazurile în care entitatea are un departament IT care are ca 
atribuţii dezvoltarea de sisteme şi aplicaţii, faţă de situaţiile în care dezvoltările se fac ad-hoc, fără 
utilizarea unui suport metodologic adecvat şi fără participarea unor specialişti cu atribuţii definite în acest 
domeniu. 


3.5.6 Focalizarea pe afacere 


Lansarea unor investiţii în IT, efectuată la începutul unei afaceri sau schimbările necesare pe parcursul 
acesteia vor fi supuse unor analize privind obiectivele investiţiilor IT, configuratiile necesare, personalul IT 
implicat în proiecte, soluţiile de achiziţie sau de dezvoltare, finanţarea proiectelor etc. 


Deciziile luate de managementul de vârf al entității în legătură cu direcţiile de dezvoltare în domeniul IT 
trebuie formalizate şi documentate într-un document denumit Strategia IT în care se identifică toate 
proiectele şi activităţile IT care vor face obiectul finantarilor. 


Deciziile şi schimbările planificate specificate în strategia IT sunt preluate şi detaliate în planurile anuale 
ale departamentului IT. 

Deşi strategia are un efect minimal pentru auditul efectuat pentru o perioadă de un an, ea oferă o imagine 
în legătură cu o perspectivă mai îndelungată (următorii ani) şi îl avertizează pe auditor în ceea ce priveşte 
problemele care pot să apară în viitor. 


Factori de risc 


Adecvarea strategiei IT la obiectivele afacerii este deosebit de importantă pentru reducerea riscurilor în 
atingerea obiectivelor afacerii şi are în vedere următoarele aspecte: 


+ Strategia IT trebuie să fie o parte a strategiei entității şi să contribuie prin suportul oferit la 
atingerea obiectivelor acesteia. Sistemele IT vor fi instalate şi utilizate întrucât sunt 
necesare, nu în funcţie de dorinţa personalului; 


e Investițiile IT trebuie să constituie cheltuieli care trebuie justificate prin efectele pe care le au 
asupra afacerii; 


+ Strategia IT se referă in general la o perioadă de trei ani, fiind dificil de estimat dinamica 
schimbărilor tehnologice în domeniu; 


+ Ritmul accelerat al schimbărilor în domeniul IT implică revizuirea anuală a strategiei IT si 
actualizarea acesteia dacă este nevoie; 


+ Personalul trebuie să fie informat asupra principalelor aspecte incluse în strategia IT; 
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e Strategia trebuie să includă consideraţii despre sistemele financiare; 
+ Strategia trebuie să fie aprobată de către managementul de vârf. 


Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel: 


(a) Corelatia între strategia IT şi strategia întregii afaceri. Se examinează dacă obiectivele departa- 
mentului IT sunt consistente cu obiectivele întregii afaceri, dacă planificarea anuală a departamentului IT 
este realizată pe baza prevederilor strategiei. 


(b) Conştientizarea conducerii fată de riscurile IT. Se analizează in ce măsură conducerea este 
conştientă de importanţa sistemelor IT şi de riscurile asociate acestora. 


(c) Necesităţi curente raportate la funcţionalitatea IT. Se evaluează flexibilitatea şi adaptabilitatea siste- 
melor IT şi modul în care sistemele informatice acoperă necesităţile curente ale afacerii. 


3.5.7 Securitatea informaţiei 


Poziţia entității referitoare la securitatea informaţiei trebuie exprimată în Politica de securitate IT, care 
stabileşte cu claritate politicile, principiile şi standardele specifice privind securitatea, precum şi cerinţele 
de conformitate cu acestea, controalele detaliate privind securitatea, responsabilitatile şi sarcinile 
personalului în ceea ce priveşte securitatea IT, modalităţile de raportare în caz de incidente. 


Politica de securitate se exprimă într-o formă concisă, narativă, este aprobată de managementul de vârf, 
trebuie să fie disponibilă pentru toţi funcţionarii responsabili cu securitatea informaţiei şi trebuie să fie 
cunoscută de toţi cei care au acces la sistemele de calcul. 


Politica de securitate trebuie să conţină următoarele elemente: 
e  Odefiniţie a securităţii informaţiei, obiectivele sale generale şi scopul; 
e O declaraţie de intenţie a managementului prin care acesta susţine scopul şi principiile 
securităţii informaţiei; 
e O detaliere a politicilor, principiilor şi standardelor specifice privind securitatea, precum şi a 
cerinţelor de conformitate cu acestea: 
1. conformitatea cu cerinţele legale şi contractuale; 
2. educaţie şi instruire în domeniul securităţii; 
3. politica de prevenire şi detectare a viruşilor; 
4. politica de planificare a continuității afacerii. 


e O definire a responsabilitatilor generale şi specifice pentru toate aspectele legate de 
securitate; 


+ O descriere a procesului de raportare în cazul apariţiei incidentelor privind securitatea. 


Entitatea trebuie să implementeze metode de monitorizare a conformităţii cu politica de securitate şi să 
furnizeze asigurarea că politica este de actualitate. Responsabilitatea pentru securitatea IT este asignată 
unei funcţii de administrare a securității. 


Factori de risc 


(a) Motivația pentru fraudă/infracţiuni (internă si externă). Se analizează care sunt tipurile de informaţii 
gestionate de către sistemele IT, din punctul de vedere al confidentialitatii şi în ce măsură ar fi afectată 
reputaţia entității în caz de fraudă. 
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(b) Senzitivitatea datelor. Având în vedere că tentativele de fraudă asupra datelor din sistemul informatic 
sunt stimulate de interesul manifestat pentru informaţiile confidentiale, se apreciază cât de confidentiale 
sunt datele gestionate de către sistemele IT, pentru a evalua probabilitatea de atac asupra acestora şi 
pentru a stabili dacă controalele implicate de politica de securitate sunt suficient de riguroase. 


(c) Legislaţie şi regulamente. Se evaluează modul de aliniere a entității la contextul legislativ si de 
reglementare, prin prisma caracterului informaţiilor gestionate de sistemele IT (de exemplu, privind 
protecţia datelor cu caracter personal). 


Riscurile asociate cu controale ale accesului logic neadecvate 


Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt: 
+ Dezvăluiri neautorizate prin acces la informaţii confidentiale; 
+ Modificări neautorizate; 
+  Afectarea integrităţii sistemului. 


Dacă sistemul este conectat într-o reţea de arie larga, cum ar fi reţeaua Internet, riscurile sunt cu mult mai 
mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea şi 
confidentialitatea sistemului. Atacatorii pot fi hackeri, funcţionari, foşti funcţionari, competitori, spioni, 
vânzători şi consultanţi. 


Consecințele violării securităţii accesului logic se pot reflecta într-o gama de efecte care pot afecta atât 
afacerea, cât şi opinia de audit. Acestea pot fi: 

a) Pierderi financiare: pot fi directe, decurgând dintr-o fraudă sau indirecte, decurgând din costurile 
modificărilor şi corectării datelor şi programelor. 

b) Obligatii legale: entitatea poate avea obligaţii legale privind stocarea şi dezvăluirea datelor. De 
exemplu, informaţiile dezvăluite pot intra sub incidenţa legii protecţiei datelor cu caracter personal, sau, 
pierderea integrităţii într-un mediu bancar poate produce încălcarea regulilor bancare şi acţiuni 
disciplinare pentru aceasta. 

c) Pierderi ale acţiunilor pe piaţă şi/sau a credibilităţii: sunt foarte grave în special în sectorul serviciilor 
financiare (bănci, fonduri de investiţii) unde pot conduce la pierderea afacerii. 

d) Distrugerea activităţilor afacerii: de exemplu, dacă un hacker pătrunde în sistemul de fabricaţie asistată 
de calculator al unei organizaţii şi schimbă toate dimensiunile produselor. 

e) Calificarea opiniei de audit: interesează cel mai mult pe auditorul extern, având in vedere că datele din 
sistemul informatic nu pot fi auditate, întrucât nu oferă probe de încredere, şi pot conţine erori materiale 
datorate alterarii lor. 


Riscuri asociate reţelelor şi conexiunilor la Internet 


Prin conectarea sistemelor entității în reţea apare potenţialul unor riscuri majore generate de accesul unor 
utilizatori anonimi externi sau al unor funcţionari neautorizati care conduce la: 


e Pierderea datelor prin ştergere intenţionată sau în timpul transmisiei; 
+  Alterarea datelor de către utilizatori sau datorate erorilor de transmisie; 
+ Fraudă generată de surse interne sau externe; 


e  Indisponibilitatea sistemului: legăturile în reţea pot fi deteriorate cu uşurinţă. Liniile de 
comunicaţie se extind in general în afara graniţelor de control ale entității (de exemplu, 
clientul se poate lega pe o reţea telefonică locală prin linii ISDN (/ntegrated Services Digital 
Network); 


+  Dezvăluirea neautorizată a informaţiilor confidenţiale, accidentală sau deliberată; 
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+  Infectarea cu viruși şi viermi. Infectiile cu viermi sunt proiectate special pentru a fi răs- 
pandite în reţele. Infectiile cu viruşi sunt cu mult mai posibile întrucât măsurile tradiţionale 
de protecţie (scanarea) sunt mai puţin eficace. 


+  Contravenţii la legislaţia privind drepturile de proprietate intelectuală şi de protecţie a datelor 
private. 


Implicaţiile privind securitatea şi controlul, care decurg din conectarea la Internet a unei organizaţii au la 
origine o serie de caracteristici ale comunicaţiei în reţeaua Internet care pot genera riscuri majore pentru 
securitatea sistemului entității. Cele mai importante sunt: 

e caracterul anonim al unor utilizatori care vor sa contravina principiilor accesului in Internet; 

e vulnerabilitatea confidentialitatii prin interceptarea parolei cu ajutorul unor programe specializate 

în cursul înregistrării pe anumite site-uri; 
e acţiunile hackerilor, pirateria şi pornografia; 
e acțiunea unui software rău intenţionat (viruşi, programe de tip "cal troian”). 


Protecţia securităţii are aspecte specifice acestui tip de comunicaţie: educarea utilizatorilor proprii privind 
consecinţele unui comportament neadecvat sau ale neglijării unor precautii legate de utilizarea reţelei 
Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la Internet, în scopul evitării expunerii 
directe a sistemului de calcul propriu la atacuri din reţeaua Internet. 


3.5.8 Protecţia fizică a sistemelor IT 


Managementul entității are responsabilitatea de a asigura existenţa controalelor adecvate pentru 
protejarea bunurilor şi a resurselor afacerii. În acest scop trebuie să se implice în identificarea ame- 
nintarilor asupra sistemelor, a vulnerabilitatii componentelor sistemului şi a impactului pe care îl pot avea 
aceste incidente asupra afacerii, să identifice măsurile adecvate pentru a reduce riscul la un nivel 
acceptabil. De asemenea, va balansa riscurile identificate cu costul implementării controalelor. 

Politica de securitate a entității trebuie să includă consideraţii privind riscurile accesului fizic şi ale 
deteriorării mediului în care funcţionează sistemele de calcul. 


Vulnerabilitati 


(a) Lipsa controalelor fizice poate genera următoarele ameninţări: 


e Distrugerea sau deteriorarea accidentală sau intenţionată din partea personalului 
(personalul IT, personalul care asigură curăţenia, personalul care asigură securitatea, alti 
salariaţi); 


+ Furtul calculatoarelor sau al componentelor, care este in continuă creştere având în vedere 
tentatia indusă de valoarea mare a acestora şi gabaritul mic; 


+ Vârfurile sau căderile de tensiune care pot produce deteriorarea componentelor şi pierderea 
sau alterarea informaţiilor; 


+ Trecerea peste controalele accesului logic (parole de acces), având acces fizic la fileserver, 
+ Copierea sau vizualizarea unor informaţii "sensibile" sau confidentiale. 


(b) Lipsa controalelor de mediu se referă la următoarele ameninţări: 


+  Distrugeri provocate de foc, apă sau de alte dezastre naturale; 
e Instabilitatea surselor de curent electric; 
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e  Căderi ale sistemului datorate creşterilor sau scaderilor de temperatura sau de umiditate 
peste/sub limitele normale admise; 


+  Distrugeri provocate de bombe, având in vedere că terorismul este în creştere în lumea 
întreagă. Centrele de calcul sunt obiective uşor de atacat, iar distrugerea lor poate avea 
repercusiuni majore la nivel guvernamental; 


+ Electricitatea statică poate deteriora anumite componente electronice integrate (memorie, 
procesor central etc.), prin şocurile provocate; 


+ Alte cauze (de exemplu, fulgerul). 
3.5.9 Operarea sistemelor IT 


Rolul şi îndatoririle privind operarea sistemelor IT se reflectă în următoarele activităţi: 


1. Planificarea capacităţii: asigurarea că sistemele de calcul vor continua să asigure servicii cu nivel 
de performanţă satisfăcător pe o perioadă mare de timp. Aceasta implică: personal de operare IT, 
capacitate de calcul şi de memorare, capacitate de încărcare a rețelei. 


2. Monitorizarea performanţei: monitorizarea zilnică a performanţei sistemului în termenii măsurării 
timpului de răspuns. 


Încărcarea iniţială a programelor. initializarea sistemelor sau instalarea de software nou. 


4. Managementul suportilor tehnici: include controlul discurilor, al benzilor, al discurilor compacte (CD 
ROM), al dischetelor etc. 


5. Programarea proceselor de calcul: include programarea proceselor care se desfăşoară în paralel 
cu programele curente şi efectuează în principal actualizări de fişiere. Acestea se execută în 
general periodic (zilnic, săptămânal, lunar, trimestrial sau anual). 


6. Salvări şi recuperări în caz de dezastru: salvarea datelor şi a programelor se efectuează regulat 
de către personalul de operare. 


7. Asigurarea suportului (Helpdesk) şi managementul problemelor: helpdesk reprezintă modalitatea 
de a face legătura între utilizatori şi personalul din departamentul IT, ori de câte ori apar probleme 
în operarea calculatorului. Problemele pot să apară în programe individuale (aplicaţii şi sisteme), 
hardware, sau telecomunicaţii. 


8. Íntretinerea: se referă atât la hardware, cât şi la software. 


9. Monitorizarea rețelei şi administrare: majoritatea calculatoarelor utilizate în afaceri sau in admi- 
nistratie funcţionează în reţea. Funcţia de operare IT presupune responsabilitatea asigurării ca 
legăturile de comunicaţie sunt întreţinute şi furnizează utilizatorilor accesul în reţea la nivelul 
aprobat. Retelele sunt în mod special importante când clientul utilizează schimburi electronice de 
date. 


Riscuri asociate 


(a) Aplicațiile nu se execută corect: decurge din operarea greşită a aplicaţiilor sau utilizarea unei versiuni 
incorecte, a unor parametri de configurare incorecti introduşi de personalul de operare (de exemplu, 
ceasul sistemului şi data setate incorect pot genera erori în calculul dobânzilor, al penalitatilor, al 
salariilor etc.). 


(b) Pierderea sau alterarea aplicaţiilor financiare sau a fişierelor de date: poate rezulta dintr-o utilizare 
greşită sau neautorizată a unor programe utilitare. 
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(c) Personalul IT nu ştie să gestioneze rezolvarea problemelor sau raportarea erorilor: încercarea de a 
le rezolva singuri poate provoca pierderi şi mai mari; 


(d) Întârzieri şi întreruperi în prelucrare: sunt alocate priorităţi greşite în programarea unor sarcini date; 


(e) Lipsa salvărilor şi a planificării incidentelor probabile: creşte riscul incapacității de a continua 
prelucrarea în urma unui dezastru. 


(f) Lipsa capacităţii (resurselor) sistemului. sistemul poate fi incapabil de a prelucra tranzacţiile 
deoarece este supraîncărcat. 


(9) Timpul mare al căderilor de sistem până la remedierea erorii: când sistemele sunt indisponibile se 
poate construi un jurnal provizoriu care să conţină tranzacţiile netransmise. 


(h) Probleme ale utilizatorilor nerezolvate datorită funcţionării defectuoase a facilităţi Helpdesk. 


3.5.10 Dezvoltari efectuate de utilizatorii finali 


Dezvoltările efectuate de utilizatori într-un mediu informatizat este o activitate dificil de controlat, întrucât 
utilizatorii nu adoptă standardele sau bunele practici utilizate de specialiştii din departamentul IT. Acest 
mediu necontrolat poate conduce la consum de timp, efort şi costuri suplimentare, precum şi la riscuri 
majore în cazul în care utilizatorii care dezvoltă programe prelucrează şi tranzacţii financiare. 


În ceea ce priveşte dezvoltarea de sisteme informatice de către utilizatori, auditorul va evalua riscurile 
care decurg din dezvoltarea internă a sistemelor informatice (resurse de dezvoltare / implementare / 
şcolarizare etc.). Se vor trata diferențiat cazurile în care entitatea are un departament IT care are ca 
atribuţii dezvoltarea de sisteme şi aplicaţii, de cele în care dezvoltările se fac ad-hoc, fără utilizarea unui 
suport metodologic adecvat şi fără participarea unor specialişti cu atribuţii definite în acest domeniu. 


Factori de risc 


(a) Dezvoltarea programelor de către utilizatori este realizată de personal lipsit de experienţă, neinstruit în 
dezvoltarea de sisteme software şi lipsit de asistenţă de specialitate din partea departamentului IT, ceea 
ce generează în mod tipic următoarele probleme: 


+ Sisteme nesigure care nu efectuează prelucrările în conformitate cu cerinţele; 
e Sisteme care nu includ controale privind: integritatea datelor, intrările, prelucrările sau 
ieşirile; 

e Sisteme netestate si cu rezultate imprevizibile; 

+ Sisteme nedocumentate, dificil de întreţinut, dependente de persoana care le-a realizat; 

e Sisteme supuse unor schimbări necontrolate, fără gestionarea versiunilor; 

e  Incompatibilitatea şi fragmentarea informaţiei în cadrul sistemului entității. 
(b) Duplicarea efortului rezultă din efectuarea unor sarcini care se execută şi în departamentul de 
informatică pentru rezolvarea aceleiaşi probleme, în lipsa unei coordonări unitare. Din acest punct apar 


probleme adiţionale privind renunţarea la una dintre variante, dublarea efortului de întreţinere şi 
documentare, sau, în unele cazuri, obţinerea de rezultate diferite în urma prelucrării datelor. 


(c) Inconsistenta datelor provine din utilizarea sistemului distribuit care prelucrează date inconsistente din 
departamente diferite (tarife de plată pentru colaboratori, unităţi de măsură, costuri unitare, regii) care, în 
lipsa unificării la nivelul departamentului IT, sunt preluate în prelucrări ca atare. 
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(d) Creşterea costurilor de utilizare a serviciilor IT se datorează mai multor factori: 
+ Cerinţele de instruire suplimentare; 
+ O mai mare solicitare a serviciilor helpdesk; 
+ Alte costuri adiţionale ascunse (aferente timpului suplimentar pe care utilizatorul îl foloseşte 
pentru rezolvarea problemelor, comparativ cu specialiştii IT), 
+ Sistemele dezvoltate de utilizatori au tendinţa de a utiliza mai putin eficient resursele de 
calcul (timp de calcul, resurse de comunicaţie, timp de imprimare). 


(e) Ştergerea informaţiilor din sistemul central se produce în cazul unei comunicaţii bidirectionale, când 
utilizatorul preia date de pe serverul central pentru examinare sau prelucrare în programul său de 
aplicaţie, şi după prelucrare datele sunt transmise către serverul central, unde fişierele originale sunt 
suprascrise. Admiterea unor astfel de proceduri provoacă incertitudine în ceea ce priveşte încrederea în 
fondul de informaţii al entității. 


(f) Conformitatea cu legislaţia. În lipsa unei legături cu departamentul IT, utilizatorii riscă să nu respecte 
legislaţia asociată domeniului IT (utilizarea calculatoarelor, memorarea informaţiilor cu caracter personal 
sau secrete, drepturile de proprietate intelectuală) şi sunt tentaţi să utilizeze software neautorizat. 


(g) Pierderea datelor se poate datora următoarelor motive: 


+ În mediul informatizat creat de utilizatori nu sunt aplicate procedurile privind recuperarea în 
caz de dezastru a datelor şi sistemului impuse de departamentul IT (salvari regulate); 


+ Lipsa controalelor privind protecţia informaţiilor creează condiţii pentru fraudă în mediul 
informatizat creat de utilizator. 


+ Creşterea portabilitatii calculatoarelor personale sub forma calculatoarelor de tip laptop 
constituie un risc nou generat de furtul sau pierderea calculatorului, şi, odată cu acesta, al 
datelor pe care le conţine. 


(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe 
servere şi celelalte calculatoare din reţeaua entității, fiind o sursă potenţială de viruşi preluaţi de pe suporţi 
tehnici de arhivare a datelor, neprotejati de un program antivirus (floppy disk, CD ROM etc.) sau din 
rețeaua Internet. 


(i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizează sisteme de 
operare proiectate pentru utilizatori individuali, şi, în consecinţă, cu restricţii limitate privind controalele 
accesului logic, cunoscute, în cele mai multe cazuri de către utilizator şi posibil de depăşit de utilizatori 
neautorizati, cu cunoştinţe în domeniul IT. Accesul fizic la calculatoarele personale, este mai putin 
controlat. Sistemul informatic al entității (servere şi minicalculatoare) funcţionează, de regulă, într-un 
mediu controlat, cu acces restricţionat prin chei, carduri de acces etc., ceea ce nu se întâmplă în cazul 
calculatoarelor personale. Datele sunt în general memorate pe dischete sau pe CD ROM, putând fi uşor 
copiate, editate sau şterse de utilizatori neautorizati. 
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3.6 Riscuri asociate furnizării serviciilor IT 


În luna octombrie 1999, cu ocazia celei de-a opta întâlniri, INTOSAI Standing Committee on IT Audit a 
iniţiat proiectul “The IT Infrastructure Management Project’, care a pornit de la necesitatea elaborării unui 
instrument de audit orientat pe managementul infrastructurii IT în administraţiile publice. Proiectul a fost 
coordonat de Oficiul Auditorului General al Norvegiei şi a avut ca membri SAl-uri din Anglia, Suedia, 
Japonia, Canada şi Rusia. 


Obiectivul principal al proiectului a fost de a furniza un model de audit pentru managementul 
infrastructurilor IT, care să poată fi utilizat pentru diferite niveluri ale infrastructurilor IT. Pentru a asigura 
conformitatea cu aceste obiective, grupul de lucru al proiectului a elaborat liniile directoare pentru un 
model generic de audit al managementului serviciilor, care include managementul infrastructurii IT. Acesta 
reprezintă un instrument pentru asistarea auditurilor managementului serviciilor IT în administraţia 
publică, bazate pe evaluarea riscurilor şi pe principiile de management al riscurilor. Premisa a fost 
constatarea că un număr important de audituri au atribuit ca motiv principal de eşec al serviciilor IT lipsa 
de conştientizare în ceea ce priveşte riscurile. În acest cadru, a fost realizat un portofoliu al riscurilor IT, 
obținut în urma unei vaste cercetări desfăşurate pe acest subiect, prin colectarea şi capitalizarea 
informaţiilor relevante privind riscurile, furnizate de SAl-uri din întreaga lume. 


Managementul serviciilor IT. Infrastructura IT este destinată furnizării serviciilor IT care să satisfacă 
diferite cerinţe legate de necesităţile afacerii. Aceste servicii pot varia de la aplicaţii simple, până la 
sisteme complexe, cum ar fi automatizarea întreprinderii. Serviciile pot fi distribuite pe un număr mare de 
sisteme hardware, software şi de comunicaţii şi pot fi furnizate intern, de către organizaţii externe, prin 
externalizare, precum şi într-o manieră eterogenă. 


Modelul de management al riscurilor prezentat în acest capitol ia în considerare opt arii de risc, 
corespunzătoare arhitecturii de referinţă privind furnizarea serviciilor IT, elaborate de INTOSAI Standing 
Committee on IT Audit: 

Managementul de vârf 

Strategii şi politici 

Operare 

Externalizarea serviciilor 

Servicii suport 

Cerinţe externe, constrângeri şi reglementări formale 

Interacțiunea utilizatorilor cu serviciile electronice 

Consecințele furnizării serviciilor IT asupra instituţiilor publice, mediului de afaceri şi cetăţenilor 


CONDO AR WDM = 


3.6.1 Managementul de vârf 


Planificare 


Obiectiv: Managementul de vârf trebuie să dezvolte un plan strategic, ca parte integrantă a strategiei 
organizaţiei, în scopul utilizării eficace şi eficiente a infrastructurii IT, şi să se asigure că acest plan este 
implementat şi produce efecte în sensul atingerii obiectivelor generale ale organizaţiei. 


Elaborarea planului strategic presupune: 

+ Recunoaşterea oportunităţilor şi problemelor cu care se confruntă organizaţia, în cadrul cărora utilizarea 
serviciilor IT se poate face, în general, cu costuri adecvate; 

+ Identificarea resurselor necesare pentru a furniza serviciile IT solicitate; 

+ Formularea de strategii pentru achiziţionarea resurselor necesare; 

+ Stabilirea unor obiective realiste (fezabile) şi măsurabile. 
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Tabelul 1 


Risc 


Impact 


1. Conştientizarea slabă din partea managementului 
de vârf cu privire la IT 


a. Servicii IT de calitate scăzută 


2. Funcţia IT este privită ca o funcţie de excelenţă şi 
nu ca o funcţie suport 


a. Exagerarea alocării fondurilor pentru investiţii IT 
asociate unor facilităţi care exced funcţionalitatea 
aferentă obiectivelor afacerii 


b. Investiţiile nu sunt adecvate sau necesare pentru 
furnizarea serviciilor IT 


3. Nivelul contribuţiei tehnologiei informaţiei la 
activitatea cheie nu este apreciat de managementul 
de vârf 


a. Subestimarea semnificației tehnologiei informaţiei 


b. Oportunităţi pierdute 


4. Domeniile de activitate privind serviciile IT nu sunt 
definite, sau examinarea acestora nu este finalizată 


Alocarea suportului economic, uman şi tehnologic 
este inadecvată 


a. Sunt neglijate sau nu sunt gestionate suficient zone 
importante (de exemplu, când se dezvoltă un sistem, 

conducerea nu ia în considerare reglementări externe 
sau nu evaluează consecinţele pe care sistemul le-ar 
avea asupra societăţii) 


5. Obiectivele serviciilor IT nu susţin obiectivele 
organizaționale 


a. Serviciile livrate nu sunt în concordanţă cu obiectivele 
organizaționale 


6. Obiectivele stabilite nu pot fi atinse 


a. Motivatie scăzută, incertitudine ridicată ca 
infrastructura IT susţine componenta organizaţională 


7. Obiectivele nu sunt măsurabile 


a. Cei responsabili nu pot aprecia ce rezultate se vor 
obţine sau când vor fi atinse obiectivele 


Organizare 


Obiectiv: Managementul de vârf trebuie să asigure organizarea eficientă şi eficace a serviciilor IT pentru a 
permite îndeplinirea obiectivelor organizaționale stabilite. 


Tabelul 2 


Risc 


Impact 


1. Ariile de activitate acoperite de serviciile IT care 
trebuie organizate nu sunt definite sau supravegherea 
lor nu este realizată 


a. Sunt neglijate arii importante 


2. Managementul de vârf nu este capabil sa 
comunice autorităţilor guvernamentale nevoile 
financiare în scopul alocării fondurilor 


a. Organizaţia nu primeşte finanţări suficiente şi nu va fi 
capabilă să-şi atingă obiectivele 
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3. Managementul de vârf nu este capabil să aloce 
fonduri sau resurse umane în mod adecvat pentru 
serviciile IT 


a. Nu sunt alocate fonduri sau resurse umane 
suficiente pentru anumite activităţi ceea ce va contribui 
la incapacitatea livrării satisfăcătoare a serviciilor IT, în 
timp ce altele sunt supraestimate. Ambele situaţii ar 
putea avea impact asupra altor activităţi dependente 


4. Scăderea numărului personalului calificat şi cu 
experienţă 


a. Nu este disponibil la timp suportul adecvat. 
Angajarea constantă a suportului extern ar putea duce 
la creşterea semnificativă a costurilor 


5. Tehnologie insuficientă sau neadecvată 


a. Serviciile IT nu sunt livrate eficient datorită 
subevaluarii sau supraevaluării capacităţii 


b. Prelucrarea neadecvată a datelor 


Conducere 


Obiectiv: Managementul de vârf trebuie să asigure direcționarea dezvoltării serviciilor IT necesare pentru 
crearea unui mediu adecvat, capabil să susţină prosperitatea, performanţa şi creşterea. 


Tabelul 3 


Risc 


Impact 


1. Motivatie slabă a personalului în ceea ce priveşte 


receptivitatea fata de serviciile IT 


a. Obiective conflictuale ale managementului conduc la 
performanţa scăzută a salariaţilor 


b. Reducerea capacităţii de a îndeplini obiectivele cheie 


2. Personalul ezită să participe la instruiri sau 
programe de instruire pentru a-şi perfecționa 
abilităţile IT 


a. Lipsa abilităţilor IT adecvate în cadrul organizaţiei 


b. Reducerea abilităţilor de a îndeplini obiectivele cheie 


3. Informaţii importante nu sunt disponibile 
managementului 


a. Afectează capacitatea de a conduce la toate 
nivelurile 


b. Impact uman, economic, legal şi/sau technologic, la 
nivel extern şi intern 


4. Constientizare neadecvata privind tendinţele şi 
dezvoltările tehnice 


a. Bugetele sunt subestimate, oportunităţile de afaceri 
nu sunt exploatate, satisfacţie scăzută a clienţilor, 
motivare scăzută a personalului 
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Control şi monitorizare 


Obiectiv: Managementul de vârf trebuie să stabilească proceduri pentru controlul şi monitorizarea 
activităţilor de furnizare a serviciilor IT. 


Tabelul 4 
Risc Impact 
Activitatea de control şi monitorizare - Managementul riscurilor 
1. Managementul de vârf nu este familiarizat cu a. Este cheltuită o cantitate disproportionata de resurse 


teoriile şi modelele privind managementul riscurilor pentru riscuri care nu au o mare probabilitate de apariţie 
sau un impact major 


2. Managementul de vârf nu vede importanţa sau a. Actori responsabili ar putea implementa proceduri 
beneficiile oferite de utilizarea procedurilor formale de | individuale sau managementul riscurilor ar putea fi 
management al riscurilor informal 


Ar putea să nu existe deloc proceduri pentru 
monitorizarea efectivă a riscurilor aferente ariilor de 
activitate. 


b. Lipsa constientizarii şi o probabilitate mare de a nu 
realiza un management echilibrat al entității. 
Semnale din multiple surse şi motivare scăzută în 
cadrul organizaţiei. 


3. Managementul de vârf nu promovează a. Motivare scăzută 
conştientizarea riscurilor 


4. Managementul de vârf nu vede importanţa a. Managementul riscurilor ar putea fi informal sau 

motivării celor responsabili cu managementul incomplet. Personalul nu vede punctele în care se 

riscurilor. consumă timp valoros cu managementul riscurilor 

5. Managementul de vârf nu reuşeşte sa a. Fundamentarea deciziilor este incorectă sau 

implementeze proceduri eficace şi eficiente pentru incompletă. Schimbările necesare nu sunt 

managementul riscurilor implementate. Parti sau întreaga infrastructură IT nu 
reuşesc să contribuie la atingerea obiectivelor 
organizaționale 


Control financiar şi monitorizare 


6. Managerii de vârf sau, cel mai probabil, mijlocii nu | a. Managementul IT se focalizează pe livrarea serviciilor 


au abilităţi de management financiar adecvate IT fără a lua în considerare aspectele financiare 
7. Rapoartele şi informaţiile pentru management Depăşirea costurilor şi valoarea mică a fluxului de 
financiar sunt incomplete sau incorecte numerar nu sunt identificate. Deciziile sunt bazate pe 


informaţii nefiabile, rezultând activităţi importante cărora 
managementul nu le acordă suficientă atenţie 


8. Lipsa sau aplicarea unor proceduri neadecvate Întârzierea sau lipsa informării. 
pentru instituţii bugetare şi raportare a costurilor Personalul exagerează în mod deliberat sau 
subestimează cerinţele de finanţare. Aceasta poate 
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conduce la stabilirea incorectă a costurilor şi beneficiilor 
proiectului, şi la prioritizarea incorectă a proiectelor 


Managementul schimbărilor 


9. Schimbări politice cu rezultat în schimbarea Managementul de vârf nu este capabil să facă 
nivelului finanţării şi/sau a prioritatilor schimbările necesare ale sistemelor sau proiectelor IT 
pentru a implementa noile cerinţe 


3.6.2 Strategii şi politici 


Obiective: 
1. Intelegerea clară a obiectivelor afacerii şi a rolului pe care serviciile IT îl au în atingerea 
acestora 


2. Înființarea unei structuri de management pentru implementarea, monitorizarea costurilor şi 
actualizarea planului strategic IT 


3. Identificarea standardelor, metodelor şi instrumentelor software care să susţină aplicarea 
planului strategic 


4. Revizuirea periodică a rezultatelor planului strategic IT şi operarea ajustărilor necesare 


Tabelul 5 


Risc Impact 


1. Unul sau mai multe servicii IT noi nu sunt livrate | a. Eşec în îndeplinirea obligaţiilor statutare sau 
la timp contractuale 


b. Pierderea unor oportunităţi de afaceri 


c. Eşec în aplicarea la timp a politicii guvernamentale 


2. Costurile de dezvoltare a noului serviciu/ale noilor | a. Investiţii inutile (abandonarea posibilă a proiectului) 


servicii depăşesc justificarea bugetară sau etna i 
economică b. Deturnarea fondurilor limitate de la proiecte de succes 


c. Lipsa funcţionalităţi esențiale a serviciilor datorată 
necesității unor economii neprevăzute 


3. Există schimbări semnificative ale cerințelor pe a. Depăşirea costurilor proiectului/programului 


parcursul ciclului de viață al proiectului/programului | 
IT b.Abandonarea proiectelor/programelor din cauza 


costului excesiv 


c. Probleme sau riscuri tehnice neprevăzute asociate cu 
schimbarea cerinţelor 


d. Întârzieri în implementarea noilor servicii datorate 
nevoii de timp adiţional pentru dezvoltare 


e. Costuri operaţionale şi de întreţinere mai mari decât 
cele estimate 
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4. Noilor servicii IT le lipseşte funcţionalitatea a. Serviciul IT nu este capabil să satisfacă necesităţi 
importantă importante ale afacerii 


b. Eşec în implementarea cerinţelor statutare şi 
contractuale 


c. Eşec în producerea unor explicaţii acceptabile, în 
cazul în care nu sunt adresate cerinţe de justificare 
importante (de exemplu, piste de audit) 


d. Eşec privind securitatea, în cazul în care c nu sunt 
adresate erinte importante privind securitatea (e.g. 
controale ale accesului logic puternice) 


e. Serviciul IT este sub-utilizat sau ignorat de public 
(având ca rezultat pierderea investiţiilor, eşecul aplicării 
politicii guvernamentale etc.) 


5. Noul serviciu IT nu este prietenos şi este dificil de | a. Costuri de operare mai mari, datorate productivităţii 
utilizat scăzute 


b. Rată de eroare înaltă 
c. Moral scăzut al personalului 


e. Serviciul IT este sub-utilizat sau ignorat de public 
(având ca rezultat pierderea investiţiilor, eşecul aplicării 
politicii guvernamentale etc.) 


6. Noul serviciu IT nu este disponibil în mod a. Nevoia de timp de lucru suplimentar excesiv, 
continuu materializat în costuri de operare mari 


b. Serviciul IT este sub-utilizat sau ignorat de public 
(având ca rezultat pierderea investiţiilor, eşecul aplicării 
politicii guvernamentale etc.) 


c. Căderi ale serviciului datorate supraîncărcării 


d. Moral scăzut al personalului (de exemplu, datorită 
slăbiciunilor sistemului în a suporta activităţile şi nevoia 
constantă de a rezolva situaţii neprevăzute) 


7. Noul serviciu/noile servicii IT nu oferă satisfacţie | a. Moral scăzut al personalului (de exemplu, datorită 
în ceea ce priveşte disponibilitatea şi/sau utilitatea incapacității sistemului de a susţine activitatea, şi, nevoii 
constante de a rezolva situaţii neprevăzute) 


b. Imposibilitatea de a satisface termenele programate 
ale afacerii 


c. Costuri ridicate ale operării (de exemplu, datorită 
necesităţii recuperărilor frecvente ale sistemului şi reluarii 
unor activităţi) 


8. Noul serviciu/noile servicii este/sunt dificil de a. Pierderea unor oportunităţi de afaceri 
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întreţinut şi/sau de schimbat 


b. Incapacitatea de a aplica la timp politica 
guvernamentală 


c. Operarea serviciilor IT este scumpă 


d. Schimbările de sistem sunt scumpe şi vulnerabile la 
erori şi căderi 


9. Serviciul/serviciile IT nu este/nu sunt scalabile, 
pentru a se adapta la extinderea afacerii (de 
exemplu, mai mulţi utilizatori şi/sau extinderea 
functionalitatii) 


a. Pierderea unor oportunitati de afaceri 


b. Incapacitatea de a aplica la timp politica 
guvernamentala 


c. Costuri ale serviciilor de re-inginerie 


10. Noul serviciu / noile servicii IT nu este/nu sunt 
sigure 


a. Spargerea, deteriorarea, caderea serviciului 
b. Frauda 


c. Indivizi susceptibili de riscuri personale (de exemplu, 
prin securitate neadecvata a informatiei sau erori 
software) 


Investiţii pierdute (de exemplu, publicul ignoră serviciul 
din cauza motivelor de securitate) 


3.6.3 Operare 


Asigurarea dezvoltării sistemului 


Obiectiv: Asigurarea că procesele de dezvoltare a sistemului sunt proiectate pentru a susţine obiectivele 


asumate de organizaţii. 


Tabelul 6 


Risc 


Impact 


1. Un proiect IT/proiectele IT nu este/nu sunt în 
concordanţă cu planurile organizaţiei sau cu 
strategia IT 


a. Sistemul IT nu suportă obiectivele afacerii 
b. Ineficacitatea utilizării resurselor 


c. Livrarea proiectului nu este acceptată de utilizatori 


2. Infrastructura IT nu interacționează eficient şi 
eficace cu obiectivele organizaţiei 


a. Organizarea IT nu ia în considerare necesităţile 
organizaţiei 


b. Managementul de vârf are încredere scăzută în 
importanţa IT 


3. Nivelul de confidentialitate a informaţiei nu este 
luat în considerare 


a. Expuneri neaşteptate ale informaţiei 
- Interne 
— Externe 
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4. Alocare bugetară nerealistă, deliberată sau nu, a. Achiziţia şi dezvoltarea nu sunt desfăşurate la timp 
din punct de vedere al timpului şi costului 
b. Costuri mai mari decât cele finanţate 


c. Pierderea credibilitatii 
— Interna 
— Externa 


5. Dreptul de proprietate asupra sistemului nu este | a. Nu este stabilită responsabilitatea globală de zi cu zi 
stabilit asupra securităţii sistemului 


b. Nu este stabilită responsabilitatea globală pentru 
schimbările de sistem, actualizări etc. 


6. Noul serviciu / noile servicii IT nu reuşeşte / nu a. Eşec în optimizarea recuperării investiţiei 
reuşesc să atingă performanţa optimă 
b. Productivitatea la nivelul utilizatorului mai mică decât 
s-a anticipat 


c. Costuri de operare şi/sau de întreţinere mai mari decăt 
s-a anticipat 


d. Insatisfactie continuă a utilizatorului în ceea ce 
priveşte sistemul 


e. Incapacitatea de a învăţa (lecţii) din greşeli pentru 
viitoarele proiecte 


Asigurarea continuității în livrarea serviciilor IT 


Obiectiv: Asigurarea continuității în livrarea serviciilor IT în concordanţă cu obiectivele strategice ale 
organizaţiei: 

- Strategii de afaceri 

- Strategii funcţionale 

- Planuri operaţionale 


Tabelul 7 


Risc Impact 


1. Organizaţia nu are încredere în aspecte legate a. Pierderi ale afacerii. Dacă sunt expuse secrete 
de securitate industriale s-ar putea ajunge, în cazul cel mai rău, la 
compromiterea afacerii 


2. Organizarea departamentului IT nu previne a. Expunerea organizaţiei înseşi la acţiuni intenţionate de 
accesul neautorizat la date alterare a datelor şi la furtul bunurilor organizaţiei 
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b. Expunerea neaşteptată sau pierderea datelor 


c. Intruziuni din interiorul sau din exteriorul organizaţiei în 
scopul accesării datelor 


d. Schimbarea datelor permanente 


3. Funcţia IT este incapabilă să livreze serviciul a. Activităţile nu pot fi realizate 


datorită lipsei de capacitate eee RA AE ie 
b. Căderi de sistem datorate lipsei planificării 


capacităților 


c. Resursele IT nu sunt utilizate eficient (capacitatea IT 
nu este utilizată) 


4. Procedurile backup şi de recuperare nu sunt în a. Pierderea datelor 


concordanță cu nivelul serviciilor stabilit de ror | As, 
organizatie b. Organizatia nu poate livra serviciile la timp 


c. Procedurile backup/recovery trebuie sa fie consistente 
cu nevoile organizaţiei (de exemplu, utilizarea rezervei 
calde când nu este necesar) 


d. Procedurile nu sunt eficiente 


5. Nu există proceduri de management al a. Probleme legate de compatibilitatea sistemului 


schimbărilor N april 
b. Schimbările conduc la probleme care pot concura cu 


uşurinţa detectării sau prevenirii 


6. Dificultăţi în recrutarea personalului calificat a. Incetinirea vitezei în producţie 


b. Fortarea organizaţiei să utilizeze soluţii alternative cum 
ar fi agenţii de recrutare a personalului temporar 


c. Pierderea cunoştinţelor 


7. Căderi de reţea a. Organizaţia poate deveni incapabilă să livreze 
serviciile 
8. Sunt utilizate versiuni greşite ale programelor. a. Pierderea datelor 


b. Date incorecte 


c. Căderea programului 


9. Aplicațiile software sunt utilizate fără licenţă a. Utilizarea ilegală a software-ului copiat 


software legală Eo pi: RADA 
b. Organizaţia ar putea fi făcută responsabilă din punct 


de vedere economic pentru utilizarea ilegală a aplicaţiilor 
software 
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Obţinerea nivelului de mentenanţă cerut 


Obiectiv: Obţinerea nivelului de mentenanţă cerut pentru a asigura continuitatea serviciilor IT. 


Tabelul 8 


Risc 


Impact 


1. Organizaţia nu reuşeşte să atingă un nivel 
adecvat al disponibilitatii serviciilor 


a. Utilizatori şi clienţi nesatisfacuti 


b. Pierderea credibilitatii organizaţiei 


2. Rolurile şi responsibilitatile pentru terţi nu sunt 
definite cu claritate. 


a. Terţii nu-şi acceptă responsabilitatile 
b. Probleme în continuitatea serviciilor 


c. Organizaţia nu are nici o protecţie legală dacă apar 
pierderi în cadrul afacerii datorate întreruperilor în livrările 
terţilor 


3. Componentele critice ale infrastructurii nu sunt 
identificate şi monitorizate 


a. Eşec în livrarera serviciilor 


4. Organizaţia nu are o abordare uniformă în ceea 
ce priveşte achiziţionarea componentelor hardware 
şi software 


a. Dificultatea menţinerii infrastructurii 


b. Rutina întreţinerii scumpe fără a fi necesară, datorită, 
de exemplu, mai multor contracte mici de întreţinere cu 
terţi, în locul unor contracte mai puţine şi mai eficiente 


c. Probleme cu angajamentele vânzătorului 


Asigurarea suportului tehnic necesar 


Obiectiv: Asigurarea unui suport tehnic suficient pentru a permite organizaţiei să utilizeze serviciile IT 


furnizate. 


Tabelul 9 


Risc 


Impact 


1.Utilizatorul final nu poate utiliza aplicaţia 


a. Sarcinile nu pot fi aduse la îndeplinire 


b. Pierderea datelor datorită utilizatorilor fără experienţă 


2. Nu există nici o funcţie care să informeze 
utilizatorul final asupra problemelor care apar 


a. Pierderea credibilitatii 
b. Eşec în satisfacerea cerințelor utilizatorilor 


c. Schimbările în sistem vor fi făcute de salariaţi 
inteligenţi datorită lipsei de responsabilizare 


Pag. 113 din 214 


3.6.4 Managementul resurselor 
Managementul resurselor umane 


Obiectiv: Asigurarea că sunt suficiente resurse umane pentru a dezvolta şi întreţine infrastructura. 


Tabelul 10 
Risc Impact 

1. Lipsa abilităţilor personalului pentru a asigura a. Probleme în livrarea la timp a seviciilor 
continuitatea serviciilor IT a Ai 

b. Calitate scăzută 

c. Asupra sistemelor IT relevante 

d. Rata de înlocuire a personalului 

e. Personal lipsit de experienţă 

f. Neîncredere în personalul cheie 
2. Infrastructura technologica nu este consistentă, iar | a. Incapacitatea de a livra serviciile 
utilizarea sistemelor incompatibile conduce la EU e J 
creşterea costurilor pentru întreaga organizatie b. Costuri de întreținere mari 
3. Utilizarea neeficace a resurselor a. Lipsa suportului personalului 

b. Pierderea competitivităţii 
4. Utilizarea neeficace a resurselor datorită lipsei a. Lipsa credibilitatii din cauză că utilizatorii nu 
abilităţilor utilizatorilor consideră serviciile utile 

b. Decizie luată greşit datorită utilizării incorecte 

c. Resursele IT consumă prea mult timp pentru a 

rezolva erori cauzate de lipsa abilităţilor utilizatorilor 
5. Serviciul operational nu este în conformitate cu a. Serviciul IT nu este în concordanță cu obiectivele şi 
cerinţele legale şi de reglementare scopurile stabilite ale organizaţiei 

b. Pierderea credibilitatii 

c. Costuri ale acţiunii de remediere 

d. Consecințe legale posibile datorită prelucrării 

tranzacţiilor într-o manieră ilegală 
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Finanţare 


Obiectiv: Organizaţia trebuie să primească fonduri suficiente pentru a permite dezvoltarea infrastructurii 
IT, astfel încât să se atingă obiectivele organizaționale. 


Tabelul 11 


Risc 


Impact 


1. Infrastructura IT nu este actualizată 


a. Organizaţia poate să nu atingă obiectivele stabilite 


b. Infrastructura nu contribuie la progresul 
organizational şi/sau la schimbările sociale 


c. Infrastructura IT este dificil şi costisitor de întreţinut 


d. Probleme cu recrutarea personalului calificat care să 
înțeleagă tehnologia învechită 


e. Probleme cu recrutarea personalului necesar, atât 
pentru departamentele sau funcţiile tehnice cât şi pentru 
cele de afaceri 


f. Costuri mari de operare pentru exploatarea şi 
întreţinerea sistemelor perimate 


2. Dificultăţi în obţinerea acceptării utilizatorului (de 
exemplu, beneficiile sunt dificil de măsurat sau nu 
sunt obţinute rapid) 


a. Pierderi ale afacerii sau clienţi nesatisfacuti 
b. Dificultăţi cu acceptanta utilizatorilor finali 


c. Productivitate scăzută şi scăderea moralului 
personalului 


3. Rata de înlocuire a personalului mai mare decât 
poate tolera organizaţia pentru a asigura 
continuitatea 


a. Planurile dezvoltării infrastructurii IT sunt întârziate 
sau abandonate 


b. Creşterea incertitudinii în livrarea serviciului IT 


c. Costuri mai ridicate, datorită instruirii continue a noilor 
angajaţi 


d. Productivitate scăzută şi scăderea moralului 
personalului datorită lipsei de continuitate 


4. Incapacitatea de a identifica, măsura sau controla 
costurile infrastructurii IT 


a. Alocare bugetară supra/sub evaluată 


b. Lipsa de încredere în cadrul organizaţiei fata de 
dezvoltarea IT 


c. Dificultatea de a măsura avantajele noului sistem 


5. Investiţia in IT nu reuşeşte să atingă performanţa 
(value for money) - risc al investiţiei 


a. Noile investiţii vor fi greu de justificat 
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Exploatarea oportunităţilor tehnice 


Obiectiv: Organizaţia trebuie să exploateze oportunităţile oferite de noua tehnologie în scopul atingerii 
obiectivelor organizaționale într-o manieră eficientă şi eficace. 


Tabelul 12 


Risc Impact 


1. Managementul de vârf nu este conştient de a. Eficacitatea şi eficienţa infrastructurii IT nu vor fi 
oportunităţile de afaceri făcute posibile de dezvoltări | optimizate 

ale infrastructurii IT 
b. Obstructionarea introducerii guvernării electronice 


c. Costuri excesive datorate menţinerii sistemelor 
ineficiente şi neeconomice bazate pe hârtie sau 
perimate 


2. Noile investiţii IT sunt coordonate şi conduse de a. Risipirea investiţiilor pe technica la moda în locul 
personalul IT celor legitimate de necesităţile afacerii 


b. Risipirea investiţiilor pe înlocuirea sistemelor care nu 
au ajuns la finalul vieţii lor economice 


c. Sistemele contin funcţionalitate excesivă şi sunt, în 
consecință, mai dificil de utilizat şi mai scump de 
întreţinut 


3.6.5 Factori externi 


Managementul reglementărilor şi politicilor formale 


Obiectiv: Asigurarea că organizaţia recunoaşte reglementările formale care au un impact asupra 
infrastructurii serviciilor IT pe care se bazează. 


Organizațiile trebuie să identifice şi să analizeze reglementările formale pentru a evalua gradul în care 
aceste reglementări au impact asupra serviciilor şi infrastructurilor IT care le susţin. Reglementarile 
formale sunt produse de Parlament sau de alte instituţii publice şi sunt: (a) reglementări comune 
(referitoare la integritate, secret, arhive, securitate etc.), (b) reglementări IT speciale (achiziţii IT, 
dezvoltare, mentenanţă, securitate IT, (c) reglementări guvernamentale pentru diferite domenii de acţiune 
(serviciile electronice care se livrează) şi reglementări speciale pentru instituţii publice. 


Riscul eşecului în a identifica şi a analiza reglementările este acela de a dezvolta servicii IT care nu sunt 
conforme cu legislaţia. 


În societate există o serie de factori externi care influenţează dezvoltarea şi utilizarea serviciilor IT: 
(a) politica Guvernului de utilizare a serviciilor informatice în administraţie (de exemplu, modernizarea 
Guvernului prin intermediul IT), (b) competiţia organizaţiilor în dezvoltarea IT şi (c) universităţile si alte 
instituții de cercetare care dezvoltă bune practici în dezvoltarea infrastructurii IT. Managementul trebuie sa 
promoveze o politică de analiză a reglementărilor care să se focalizeze pe identificarea reglementărilor 
care au impact asupra serviciilor IT. 
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Managementul cerinţelor grupurilor ţintă 


Obiectiv: Asigurarea că organizaţia înţelege cine sunt clienţii / utilizatorii, precum şi care sunt nevoile lor 
particulare. 


Organizațiile trebuie să desfăşoare cercetări încă din faza de început a dezvoltării unui serviciu IT pentru 
a stabili cerințele afacerii utilizatorului final. Această analiză trebuie desfăşurată periodic pentru a fi 
actualizată de grupurile ţintă, altfel, serviciile IT vor fi afectate de riscul eşecului în atingerea cerințelor 
formulate de acestea. 


Managementul trebuie să se asigure că această cercetare atentă este desfăşurată pentru a identifica şi a 
prioritiza cerinţele utilizatorilor unui nou serviciu. 


Managementul opiniilor de la terţe parti 

Obiectiv: Asigurarea că organizaţia obţine opinii relevante de la terţi cu privire la serviciile IT în care sunt 
implicaţi. 

Organizațiile utilizează frecvent terțe parti pentru a livra, dezvolta sau opera, pe bază de contract, parti ale 
serviciilor electronice. Uneori, o organizaţie poate externaliza întregul serviciu IT unui furnizor de servicii. 


Organizațiile trebuie să desfăşoare cercetări sau activităţi de revizuire pentru a stabili opinia furnizorului 
de servicii în legătură cu eficienţa serviciului IT, altfel există riscul ca organizaţia să nu poată perfecționa 
serviciul IT. 


Managementul trebuie să încurajeze furnizorii de servicii să facă sugestii pentru perfecţionarea furnizării 
serviciului IT care face obiectul revizuirii. 


Tabelul 13 
Risc Impact 
1. Managementul de vârf nu reuşeşte să vada Organizaţia nu este capabilă să răspundă operativ 
domeniul IT ca pe un domeniu al managementului factorilor externi în vederea schimbării, antrenand: 


e neînțelegeri politice 

+ întârziere în implementarea politicii guvernamentale 
e costuri excesive datorită unei nevoi mai mari de timp 
de lucru suplimentar şi nevoii de a utiliza consultanţi 


2. Eşec în identificarea şi monitorizarea riscurilor a. Informaţia utilizată în luarea deciziilor legate de 
externe serviciile IT este incompletă 


b. Luarea deciziilor este slaba, datorita faptului ca 
strategiile de management şi politicile legate de 
infrastructura IT se bazeaza pe informatii nesigure 


3. Eşec în interpretarea si în înţelegerea factorilor de | a. Deciziile privind serviciile IT nu sunt luate sau se 
risc extern identificaţi bazează pe informaţie nesigură 


b. Deciziile necorespunzătoare despre strategiile şi 
politicile legate de infrastructura IT operaţională se 
reflectă în infrastructură operaţională IT şi suport 
insuficiente 
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4. Eşec în ceea ce priveşte schimbul de cunoştinţe a. Managerii de servicii IT nu sunt conştienţi de factorii 
despre factorii externi cu alti manageri de risc externi, rezultând decizii bazate pe informaţie 
nesigură 


3.6.6 Interacțiunea cu utilizatorii 
Gestionarea accesibilitatii utilizatorului la servicile IT 


Obiectiv: Asigurarea că utilizatorii interni şi externi sunt capabili să acceseze infrastructura de servicii IT. 


Tabelul 14 
Risc Impact 
1. Managementul de vârf nu reuşeşte să identifice a. O interfaţă neadecvată a utilizatorului cu serviciile IT 
riscul generat de interfaţa neadecvată a utilizatorului | are ca efecte: 
cu serviciile IT 
— un serviciu sub-utilizat (şi risipirea investiţiei în 
dezvoltarea sa) 
— productivitate scăzută datorită dificultății şi 
problemelor în utilizarea serviciului 
- date nesigure şi proces de luare a deciziilor slab 
- deziluzia personalului şi moral scăzut 
2. Eşec în furnizarea de servicii IT accesibile, a. Serviciul este sub-utilizat din cauza lipsei de 
focalizate pe utilizator înţelegere asupra a ceea ce se urmăreşte să se obţină. 


În particular: 


1) serviciul nu reuşeşte să atingă funcţionalitatea 
cerută; 

2) serviciul nu este disponibil pentru a fi utilizat la 
momentul potrivit; 

) nu sunt furnizate mijloacele preferate de acces; 
4) serviciul nu este accesibil pe o arie geografică 
suficient de mare; 

5) serviciul este scump de accesat; 

6) serviciul este neprietenos şi dificil de utilizat; 

7) serviciul nu poate fi utilizat de vorbitori de limbi 
străine; 

8) nu este oferită nici o posibilitate de contact direct 
(fata în fata) cu utilizatorii finali 


3. Livrarea serviciilor electronice nu reuşeşte să ofere | a. Investiţii pierdute 


creşteri semnificative ale calităţii ; | hae: A 3 
b. Insatisfactia publicului şi publicitate adversă 


c. Utilizarea serviciilor ineficientă, sub-utilizarea 
serviciilor 


4. Un eşec major al proiectării se produce după a. Intarziere şi pierderea investiţiei 
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implementarea livrării serviciilor electronice în mediul 
real 


b. Publicitate negativă 


c. Necesitatea de întoarcere la sisteme ineficiente, 
perimate sau de perpetuare a unor astfel de sisteme 


d. Impact negativ asupra moralului personalului. 


e. Dificultăţi datorate incapacității de a respecta 
condiţiile legislative şi politice 


5. Livrarea serviciilor electronice poate deveni 
obiectul comparatiei cu alte dezvoltări (nefavorabile) 


a. Eşec în optimizarea oportunităţilor şi a încasărilor din 
livrarea serviciilor IT 


b. Comentarii publice nefavorabile 


c. Dificultăţi politice 


Gestionarea suportului şi a instruirii utilizatorului 


Obiectiv: Asigurarea că utilizatorii interni şi externi primesc un nivel adecvat al suportului pentru utilizarea 


serviciilor şi pot utiliza serviciul eficace şi eficient. 


Tabelul 15 


Risc 


Impact 


1. Utilizatorii nu sunt capabili să utilizeze un serviciu 
într-o manieră eficace şi eficientă datorită lipsei 
instruirii sau a unei instruiri neadecvate 


a. Productivitate scăzută / standard scăzut al serviciului 


b. Utilizatorii evită să utilizeze serviciul, rezultând 
pierderi ale investiţiei 


c. Performanta scăzută în atingerea obiectivelor 
organizaţiei 


d. Dificultăţi politice 


2. Incapacitatea de a asigura înţelegerea 


a. Ignoranta poate conduce la o multitudine de 
probleme, inclusiv: 


1) serviciul fiind sub-utilizat din cauza incapacității de a 
înţelege ce trebuie făcut sau cum trebuie utilizat pentru 
a satisface o cerinţă anume; 


2) rate mari de erori şi reluarea operaţiunilor datorate 
utilizării incorecte; 


3) oportunităţi pierdute datorită incapacității managerilor 
afacerii de a exploata serviciul integral, din cauza lipsei 
de înțelegere; 


4) disfunctionalitati ale serviciului şi căderi ale acestuia 
datorită operării incorecte din partea personalului care 
asigură suportul; 
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4) lipsa de răspuns, proasta funcţionare şi căderea 
serviciului datorită întreţinerii tehnice slabe din partea 
personalului care asigură suportul 


Gestionarea calităţii comunicării 


Obiectiv: Asigurarea că dialogul între utilizatori şi serviciul IT are calitatea corespunzătoare în cadrul 


comunicării. 


Tabelul 16 


Risc 


Impact 


1. Interacțiunea între utilizator şi serviciul IT nu 
satisface cerinţele de calitate ale comunicării 


a. Diseminarea în sistem de către utilizator a unor 
informaţii de calitate scăzută conduce la consecințe 
negative pentru alti actori 


b. Neîncrederea utilizatorilor în rezultatele serviciilor IT 


3.6.7 Consecințe ale utilizării serviciilor IT asupra cetăţenilor, 
mediului de afaceri şi sectorului public 


Gestiunea informaţiei 


Obiectiv: Asigurarea că organizaţia recunoaşte că informaţia este o resursă vitală şi o gestionează în 
condiţii de securitate şi cu cel mai bun efect. 


Tabelul 17 


Risc 


Impact 


1. Eşec în gestiunea eficace a 
informaţiei 


a. Lucrul interoperabil nu poate fi exploatat datorită: 


1) ignoranței despre: 


— unde şi când au fost obţinute 
datele care trebuie schimbate între servicii; 


— ce reprezintă datele; 


- cine poate accesa datele în mod legal şi le poate utiliza pe cele 


puse la dispoziţie; 


2) formate de date incompatible. 


b. Pierderea răspunderii prin: 


— incapacitatea de a reconstitui, recupera sau de a citi înregistrările 
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electronice ale afacerii: 


— incapacitatea de a demonstra autenticitatea înregistrărilor 
electronice ale afacerii. 


Managementul schimbării 


Obiectiv: Asigurarea că schimbările asupra serviciului electronic sunt implementate într-o manieră care să 
nu genereze probleme. 


Schimbarea gestionată defectuos poate induce probleme în ceea ce priveşte funcţionalitatea şi în modul 
în care răspunde serviciul electronic, probleme care se manifestă prin rate ridicate de eroare şi de cădere. 


Tabelul 18 


Risc Impact 


1. Managementul schimbării este ineficace. a. Schimbarea gestionată defectuos poate induce 
probleme în ceea ce priveşte funcţionalitatea şi in 
modul în care răspunde serviciul electronic, care se 
manifestă prin rate ridicate de eroare şi de cădere. 
Acestea antrenează: 


1) pierderi ale investiţiei prin eşec în satisfacerea 
cerinţelor utilizatorului; 


2) pierderea unor oportunităţi ale afacerii prin 
inabilitatea de a răspunde rapid şi eficace la 
schimbările necesităţilor şi obiectivelor afacerii 


3) costuri mari de operare (datorate necesităţii de a 
recupera sistemul, de reluare a unor operaţii) şi 
pierderi în producţie; 

4) insatisfactie în rândul personalului din cauza lipsei 
de fiabilitate a sistemelor; 


5) insatisfacţia publicului şi neplaceri politice rezultând 
din disfunctionalitati ale serviciului şi/sau eşec în 
furnizarea unui nivel adecvat al serviciului. 


Managementul securităţii informaţiei 


Obiectiv: Protejarea confidentialitatii, integrităţii şi disponibilitatii pentru utilizarea datelor organizaţiei într-o 
manieră a eficienţei costurilor capabilă să inspire încredere în rândul comunităţii utilizatorilor. 


O securitatea a informaţiei ineficace poate avea un impact dramatic asupra operaţiilor afacerii. Poate 
avea, de asemenea, un impact semnificativ asupra percepţiei publicului în ceea ce priveşte serviciile 
electronice (în mod particular, atunci când implică fraudă), având drept consecinţă o pierdere generală a 
încrederii. 
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Tabelul 19 


Risc Impact 


1. Securitate a informaţiei ineficace a. O securitate a informaţiei ineficace poate avea impact 
dramatic asupra operaţiilor afacerii. 

Poate avea, de asemenea, un impact semnificativ 
asupra percepției publicului în ceea ce priveşte serviciile 
electronice (în mod particular, când implică fraudă), 
rezultând într-o pierdere generală a încrederii. 

Impactul specific include: 


1) dezvaluirea neautorizată a informaţiei sensibile 
despre afacere şi/sau personale, care ar putea 
avea ca rezultat impactul distrugător ulterior asupra 
afacerii şi asupra indivizilor); 


2) manipularea neautorizată a informaţiei, care poate 
avea impact şi poate avea ca rezultat frauda şi 
corupţia datelor personale (ex. datorate erorilor 
software sau atacurilor viruşilor); 


3) pierderea disponibilitatii serviciului, de exemplu, 
datorită unei capacităţi neadecvate de reluare a 
funcţionării în urma căderilor sau din lipsa unui plan 
al continuității eficace, în eventualitatea unei căderi 
prelungite; 


4) deteriorarea fizică a componentelor IT datorată 
securităţii fizice şi de mediu inadecvate. 


b. Eşecul în menţinerea unei securitati adecvate a 
informaţiei poate avea ca rezultat, de asemenea, impact 
legal când căderile conduc la compromiterea cerinţelor 
contractuale, statutare (de exemplu, protecţia datelor) 
sau a cerinţelor de reglementare. 


Managementul mediului de lucru 


Obiectiv: Promovarea unei productivitati ridicate şi a principiilor morale prin dezvoltarea unui mediu de 
lucru sigur şi sănătos. 
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Tabelul 20 


Risc 


Impact 


1. Eşec în gestionarea mediului de lucru — 
sănătate şi siguranţă 


a. Absente pe caz de boală 

b. Cereri pentru compensaţii 

c. Urmărire pentru încălcarea reglementărilor 
d. Productivitate scăzută 


e. Moral scăzut 


2. Eşec în gestionarea mediului de lucru — 
teleworking 


a. Urmărirea / penalizarea pentru încălcarea cerinţelor 
legale 


b. Costuri de operare crescute 
c. Caderi ale securităţii IT 
d. Productivitate scazuta 


e. lesiri cu calitate nesatisfăcătoare 


3. Redundanta abilităţilor 


a. Şomaj 


b. Scăderea moralului personalului 


Managementul efectelor asupra cetăţenilor, societăţii şi organizaţiilor 


Obiective: Focalizarea şi conştientizarea consecințelor intenţionate si neintentionate care decurg din 


dezvoltarea şi schimbările serviciilor electronice. 


Tabelul 21 


Risc 


Impact 


1.Cetatenii nu au încredere în livrarea serviciilor 
electronice şi în avantajele acestora. 


a. Noile servicii sunt sub-utilizate. 
b. Pierderi ale investiţiei. 
c. Eşec în atingerea nivelului de eficienţă. 


d. Obiectivele strategice ale Guvernului legate de 
aceste servicii nu sunt atinse. 
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2. Cetăţenilor le lipseşte abilitatea de a exploata 
serviciile electronice furnizate 


a. Serviciile electronice livrate sunt sub-utilizate. 
b. Pierderi ale investiţiei. 
c. Eşec în atingerea nivelului de eficienţă. 


d. Obiectivele strategice ale Guvernului legate de 
aceste servicii nu sunt atinse. 


3. Excluziune socială 


a. Cetăţenii sund excluşi în mod discriminatoriu de la 
a accesa serviciile ectronice; de exemplu, prin 
disabilităţi fizice, bariere de limbă, izolare geografică, 
lipsă de educaţie 


b. Servicii sub-utilizate 


c. Implicații legale posibile (de exemplu, prin legislaţia 
"drepturilor egale") 


4. Informaţia nu poate fi inter-schimbată prompt în 
interiorul şi între diferite organizaţii ale sectorului 
public. 


a. Infrastructura IT nu reuşeşte să suporte 
îmbunătățirile în elaborarea politicii, livrarea serviciilor 
electronice şi lucrul mai eficient 


5. Cadrul de Interoperabiliate a sistemelor este sau 
devine ineficace 


Informaţia nu poate fi schimbată prompt în şi între 
diferite organizaţii ale sectorului public 


6. Livrarea serviciilor electronice suferă de un nivel 
inacceptabil al erorilor de sistem şi al căderilor 
serviciului. 


a. Costuri mari de operare 
b. Sisteme care nu răspund solicitărilor 
c. Securitatea informaţiei neadecvata sau ineficace 


d. Moral scazut in randul personalului care asigura 
suport, datorită confruntării continue cu numeroasele 
plângeri ale clienţilor 


e. Insatisfactia publicului, frustrare şi publicitate 
adversă 


f. Neplăceri politice 


g. Implicații legale posibile (de exemplu, privind 
protecţia datelor, libera circulaţie a informaţiei) 
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7. Livrarea serviciilor electronice poate face obiectul 
comparatiei cu alte dezvoltări (nefavorabile) 


a. Eşec în optimizarea oportunităţilor şi în obţinerea 
economiilor din livrarea serviciilor electronice 


b. Comentarii nefavorabile din partea publicului 


c. Neplăceri politice 
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Capitolul 4. Proceduri de audit IT 


Prezentul capitol stabileşte un cadru metodologic şi procedural orientat pe fluxul activităţilor care se 
desfăşoară în cadrul unei misiuni de audit IT, misiunea având ca scop investigarea şi evaluarea 
conformităţii proceselor care au loc în cadrul unei entităţi cu cerinţele unui cadru de reglementare, 
respectiv un set de standarde, bune practici, legislaţie, metodologii. Rezultatele evaluărilor se 
materializează în constatări şi concluzii care reflectă opiniile auditorului prin prisma obiectivelor misiunii 
de audit. În cazul constatării unor neconformitati, auditorul formulează recomandări pentru remedierea 
acestora şi perfecţionarea activităţii entității. 


Subiectele abordate sunt următoarele: 
(a) problematica generală specifică auditului IT (domeniul de aplicare, documente de referință 
(reglementări) aplicabile în domeniul auditului IS/IT, obiective generale şi obiective specifice ale 
auditului IT / IS, criterii de evaluare generice, determinarea naturii şi volumului procedurilor de 
audit, revizuirea controalelor IT în cadrul misiunilor de audit financiar), 
(b) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea 
şi revizuirea), 
c) evaluarea sistemelor informatice financiar-contabile, 
d) cadrul procedural pentru evaluarea sistemului informatic (obţinerea informaţiilor de fond privind 
sistemele IT ale entității auditate (Procedurile A1 — A7), evaluarea controalelor generale IT, 
(Procedurile B1 - B8), evaluarea controalelor aplicaţiei (Procedurile CA1 - CA13), precum şi 
evaluarea riscurilor asociate implementării şi utilizării sistemului informatic, 
e) elaborarea raportului de audit şi valorificarea constatărilor consemnate în acesta. 


4.1 Auditul sistemelor informatice 


În concordanță cu cadrul de lucru INTOSAI şi cu standardele asociate, în ceea ce priveşte tipul şi 
conţinutul acţiunilor de verificare desfăşurate de Curtea de Conturi a României (acţiuni de control, misiuni 
de audit financiar şi misiuni de audit al performanţei), în condiţiile extinderii accentuate a informatizării 
instituţiilor publice, auditul sistemelor informatice poate constitui o componentă a acestor acţiuni sau se 
poate desfăşura de sine stătător, de regulă prin misiuni de audit al performanţei implementării şi utilizării 
de sisteme, soluţii informatice sau servicii electronice care fac obiectul unor programe naţionale sau 
proiecte complexe de impact pentru societate, având efecte în planul modernizării unor domenii sau 
activităţi. 

Acţiunile specifice de audit al sistemelor informatice din ansamblul competenţelor atribuite CCR, se 
desfăşoară pe baza programului anual de activitate, aprobat de Plenul Curţii de Conturi. Aceste acţiuni se 
referă la auditul IT / IS, respectiv auditul arhitecturilor şi infrastructurilor IT, precum şi auditul sistemelor, 
aplicaţiilor şi serviciilor informatice şi reprezintă o activitate de evaluare a sistemelor informatice prin 
prisma optimizării managementului resurselor informatice disponibile (date, aplicaţii, tehnologii, facilităţi, 
servicii, resurse umane etc.), în scopul atingerii obiectivelor entității, prin asigurarea unor criterii de: 
eficiență, confidentialitate, integritate, disponibilitate, siguranţă în funcţionare şi conformitate cu un cadru 
de referinţă (standarde, bune practici, cadru legislativ etc.). 


Prin intermediul rapoartelor de audit al sistemelor informatice, Curtea de Conturi furnizează părţilor 
interesate (Parlament, Guvern, entităţi auditate, instituţii interesate şi cetăţeni), informaţii privind 
performanţa implementării şi utilizării infrastructurilor bazate pe tehnologia informaţiei şi efectele obţinute 
în planul modernizării activităţii prin informatizarea acesteia, precum şi încrederea pe care sistemul o 
asigură utilizatorului (instituţii publice, cetăţeni). Generic, acestea se materializează în reducerea timpului 
de acces la informaţie, prevenirea pierderii ori înlocuirii informaţiei, creşterea gradului de securitate a 
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informaţiilor, protecţia datelor personale, reducerea birocraţiei şi a blocajelor la ghişeu, promovarea 
culturii informatice în rândul cetăţenilor, reducerea reală a costurilor administrative, furnizarea şi utilizarea 
de informaţii în timp real prin extinderea serviciilor electronice bazate pe implementarea tehnologiilor web, 
asigurarea compatibilităţii şi interoperabilitatii cu sistemele similare disponibile în ţările Uniunii Europene. 


4.1.1 Domeniul de aplicare 


Armonizarea abordărilor cu tendinţele strategice stabilite la nivelul INTOSAI, precum şi stabilirea direcțiilor 
strategice în domeniul auditului IT / IS în cadrul Curţii de Conturi a României se raportează atât la 
abordările instituţiilor supreme de audit de prestigiu din cadrul INTOSAI şi ale unor instituţii cu tradiţie în 
auditul extern, cât şi la cerinţele standardelor şi bunelor practici internaţionale (INTOSAI, ISA, ISO 27000, 
ISACA, COBIT, ITIL). Abordarea auditului IT / IS în cadrul Curţii de Conturi a României este în 
concordanţă cu direcţiile de dezvoltare incluse în Planul de lucru pentru perioada 2008-2011 al Grupului 
de lucru EUROSAI IT-WG si, implicit, în conformitate cu abordarea impusă de cadrul de auditare 
INTOSAI. De asemenea, această abordare este consistentă cu obiectivele strategice ale CCR şi 
contribuie la realizarea acestora. 


Cadrul conceptual, metodologic şi procedural pentru auditul IT / IS implementat în cadrul Curţii de Conturi 
a României este armonizat cu punctul de vedere asupra auditului în medii informatizate, formulat de 
Grupul special de lucru EUROSAI — IT Working Group, care acordă o atenţia specială auditului sistemelor 
IT şi problematicii asociate şi recomandă ca auditul IT să devină o parte integrantă a tuturor auditurilor 
desfăşurate de Instituţiile Supreme de Audit. 


Potrivit cadrului INTOSAI, obiectul auditului sistemelor informatice poate fi focalizat pe programe, 
proiecte, sisteme informatice sau resurse informatice create sau utilizate în instituţiile publice. Acestea pot 
fi auditate la nivel strategic, operaţional sau la nivel de aplicaţie. Auditarea se poate desfăşura pe întreg 
ciclul de viata al sistemului sau numai pe anumite etape: proiectare, dezvoltare, implementare, producţie, 
livrare, interoperabilitate, acces, utilizare. Auditarea include, de asemenea, şi evaluarea conformităţii cu 
legislaţia în vigoare. 


În cadrul misiunilor de audit al sistemelor informatice se va efectua evaluarea componentei aferente 
controalelor IT / IS implementate în sistemul de control intern al entității auditate. Constatările vor 
evidenția punctele tari şi punctele slabe ale sistemului informatic şi vor menţiona aspectele care trebuie 
remediate. Pe baza acestora se vor formula recomandări privind perfecţionarea structurii de procese, 
controale şi proceduri IT existente. 


Principalele constatări, concluzii şi recomandări formulate pe parcursul misiunii de audit vor fi sintetizate şi 
vor fi înaintate conducerii entității auditate, constituind obiectul valorificării raportului de audit. Modul de 
implementare a recomandărilor şi stadiul implementării acestora vor fi revizuite periodic, la termene 
comunicate entității auditate. 


Curtea de Conturi desfăşoară următoarele tipuri de audit IT: 

= Evaluarea unui sistem informatic în scopul furnizării unei asigurări rezonabile privind 
funcţionarea acestuia, asigurare necesară inclusiv misiunilor de audit financiar sau de audit al 
performanţei la care este supusă entitatea; 

= Evaluarea performanţei implementării si utilizării sistemelor informatice; 

= Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul 
performanței şi auditul IT / IS, acestea urmând a se desfăşura în cadrul unor misiuni comune, 
în funcţie de obiectivele stabilite; 

= Auditul unor soluţii informatice dezvoltate şi implementate pentru a contribui la prevenirea şi 
combaterea corupţiei şi a evaziunii fiscale; 
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= Auditul sistemelor e-guvernare şi e-administratie, precum si al serviciilor electronice asociate 
(sistemul e-licitatie, serviciul electronic declaraţii fiscale online etc.), raportat la condiţiile 
prevăzute de Directiva 2006/123/CE); 

= Evaluarea unui sistem IT / IS integrat şi/sau a unor aplicaţii individuale utilizate ca suport 
pentru asistarea deciziei (sisteme IT / IS utilizate pentru evidenţă, prelucrarea şi obţinerea de 
rezultate, situaţii operative şi sintetice la toate nivelele de raportare) în cadrul entității 
auditate. 


În cadrul Curţii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter 
transversal, interdepartamental. Curtea de Conturi va desfăşura orice misiuni de audit IT menite să 
creeze condiţiile optime pentru derularea eficientă a celorlalte forme de control şi audit şi să ofere suportul 
tehnic pentru aceste misiuni. 


Extinderea utilizării tehnologiei informaţiei în toate domeniile, inclusiv în cel al sistemelor finan- 
ciar-contabile, care presupune atât extinderea controalelor IT în cadrul sistemului de control intern al 
entităţilor auditate/controlate, cât şi existența unor programe şi proiecte de mare anvergură finanţate din 
fonduri publice, materializate în investiţii IT cu valori foarte mari, generează necesitatea perfecţionării 
modelelor tradiţionale de auditare şi extinderea auditului sistemelor informatice în activitatea Curţii de 
Conturi. 


In cadrul acţiunilor de control şi audit financiar desfăşurate de către structurile Curţii de Conturi, auditorii 
publici externi vor efectua evaluări ale sistemelor informatice existente la entităţile auditate, pentru a 
determina dacă sistemele şi aplicaţiile furnizează informaţii de încredere pentru acţiunile respective. 


Pentru misiunile de audit financiar este de o deosebită importanţă identificarea riscurilor care rezultă din 
utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri măresc probabilitatea 
apariţiei unor prezentări semnificativ eronate în situaţiile financiare, fapt ce ar trebui luat în considerare de 
management şi de auditori. Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: 
dependenţa de funcţionarea echipamentelor şi programelor informatice, vizibilitatea pistei de audit, 
reducerea implicării factorului uman, erori sistematice versus erori incidentale, accesul neautorizat, 
pierderea datelor, externalizarea serviciilor IT / IS, lipsa separării sarcinilor, absenţa autorizării tradiţionale, 
lipsa de experienţă în domeniul IT. 


4.1.2 Documente de referinţă (reglementări) aplicabile în domeniul 
auditului IS / IT 


e Constituţia României; 

e Legea nr. 94/1992 privind organizarea şi funcţionarea Curţii de Conturi, cu modificările şi 
completările ulterioare; 

e Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum 
şi valorificarea actelor rezultate din aceste activităţi; 

e Cadrul metodologic şi procedural elaborat de structura de specialitate a Curţii de Conturi a 

României, convergent cu standardele de audit generale şi specifice adoptate de Curtea de 
Conturi, în baza standardelor internaţionale de audit INTOSAI, ISA, ISACA şi a standardelor de 
securitate. 
Cadrul conceptual, metodologic şi procedural pentru auditul IT / IS implementat în cadrul Curţii de 
Conturi a României este armonizat cu punctul de vedere asupra auditului în medii informatizate, 
formulat de Grupul special de lucru EUROSAI — IT Working Group, care acordă o atenţia specială 
auditului sistemelor IT şi problematicii asociate şi recomandă ca auditul IT să devină o parte 
integrantă a tuturor auditurilor desfăşurate de Instituţiile Supreme de Audit: 

e Manualul de auditul performanţei, elaborat de Curtea de Conturi a României, ediţia 2005. 
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4.1.3 Obiective generale şi obiective specifice ale auditului IT / IS 


Obiectivele misiunii de audit au un rol determinant în abordarea auditului, din acestea decurgând cerinţe 
şi restricţii privind desfăşurarea activităţilor în toate etapele misiunii de audit: planificarea auditului, 
efectuarea auditului, raportare, revizuire. 


Abordarea generală a auditului IT / IS se bazează pe evaluarea riscurilor. Pentru auditul performanţei 
implementării şi utilizării sistemelor informatice se asociază şi abordarea pe rezultate. Auditul se poate 
efectua pentru întreg ciclul de viata al sistemelor şi aplicaţiilor informatice sau se poate raporta numai la 
anumite componente specificate sau la anumite etape de dezvoltare a sistemului. 


Formularea obiectivelor generale se face în funcţie de scopul evaluării: evaluarea performanței unei 
activităţi bazate pe tehnologia informaţiei, evaluarea unui program sau a unui sistem bazat pe tehnologia 
informaţiei, evaluarea tehnică a unui sistem sau a unor aplicaţii, evaluarea unor componente ale 
sistemului dintr-un punct de vedere precizat. 


Scopul generic al misiunilor de audit al sistemelor informatice este obţinerea unei asigurări rezonabile 
asupra implementării şi funcţionării sistemului, în conformitate cu prevederile legislaţiei în vigoare, cu 
reglementările în domeniu, cu standardele internaţionale şi ghidurile de bune practici, precum şi evaluarea 
sistemului din punctul de vedere al furnizării unor servicii informatice de calitate sau prin prisma 
performanţei privind modernizarea administraţiei şi asigurarea încrederii în utilizarea mijloacelor 
electronice. 


În funcţie de tematica auditului, auditorul public extern are sarcina de a clarifica obiectivele auditului, de a 
identifica referentialul pentru efectuarea auditării (standarde, bune practici, reglementări, reguli, proceduri, 
dispoziţii contractuale etc.) şi de a examina gradul în care cerinţele care decurg sunt aplicate şi contribuie 
la realizarea obiectivelor entității. 


În principiu, există două categorii de probleme care pot constitui obiective generale ale auditului: 
e stabilirea conformităţii rezultatelor entității cu un document de referinţă, conformitate asupra 
căreia trebuie să se pronunţe auditorul; 
+ evaluarea eficienţei cadrului procedural şi de reglementare şi a focalizării acestuia pe obiectivele 
entității. 


Pornind de la obiectivul general, se formulează obiective specifice care determină direcţiile de audit, 
cerinţele concrete şi criteriile care vor sta la baza evaluărilor. Ca obiective specifice generice, se vor avea 
în vedere: 
= Evaluarea soluţiilor arhitecturale şi de implementare a sistemului informatic; 
= Evaluarea infrastructurii hardware şi software: echipamente, sisteme, aplicaţii; 
= Evaluarea implicării managementului de la cel mai înalt nivel în perfecţionarea guvernantei IT; 
= Evaluarea calităţii personalului utilizator al sistemelor şi aplicaţiilor informatice; 
= Evaluarea securității sistemului informatic; 
= Evaluarea disponibilităţii şi accesibilitatii informaţiilor; 
= Evaluarea managementului schimbărilor şi al continuității sistemului; 
= Evaluarea sistemului de management al documentelor; 
=  Evaluareautilizării serviciilor electronice disponibile; 
= Evaluarea schimbului de informaţii şi a comunicării cu alte instituţii; 
=  Conformitatea cu legislaţia în vigoare; 
= Identificarea şi analiza riscurilor decurgând din utilizarea sistemului informatic, precum şi a 
impactului acestora; 
= Evaluarea efectelor implementării şi utilizării infrastructurii IT în modernizarea activităţii entității 
auditate. 
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4.1.4 Criterii de evaluare generice 


Misiunea de audit al sistemelor informatice are în vedere următoarele criterii de evaluare generice: 

= Daca sistemul informatic asigură un cadru adecvat, bazat pe integrarea tehnologiilor informatice 
pentru desfăşurarea continuă a activităţii; 

= Daca activităţile desfăşurate pe parcursul derulării proiectelor IT / IS sunt conforme cu obiectivele 
şi termenele de realizare, aprobate la nivel institutional, la fundamentarea acestora; 

= Daca pe parcursul proiectelor s-au înregistrat dificultăţi tehnice, de implementare sau de altă 
natură; 

= Daca implementarea proiectelor conduce la modernizarea activităţii entității, contribuind la 
integrarea unor noi metode de lucru, adecvate şi conforme cu noile abordări pe plan european şi 
internaţional; 

= Daca soluţia tehnică este fiabilă şi susţine funcţionalitatea cerută în vederea creşterii calităţii 
activităţii; 

= Daca sistemul informatic funcţionează în conformitate cu cerințele programelor şi proiectelor 
informatice privind integralitatea, acurateţea şi veridicitatea, precum şi cu standardele specifice de 
securitate; 

= Daca pregătirea utilizatorilor atinge nivelul performanţei cerute de această nouă abordare, 
analizată prin prisma impactului cu noile tehnologii; 

= Daca există şi au fost respectate standarde privind calitatea suportului tehnic şi metodologic. 


Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspectiva creării, la nivelul instituţiilor 
auditate, a unor arhitecturi de sistem coerente, bazate pe creşterea partajării informaţiei şi a sistemelor în 
administraţia publică, reducerea costurilor totale prin reutilizare şi evitarea duplicării aplicaţiilor si 
sistemelor, reducerea timpului de implementare a proiectelor, îmbunătăţirea manierei de administrare a 
proiectelor şi de implementare a soluţiilor (portofoliul de proiecte), stabilirea politicilor de migrare pentru 
proiectele existente. 

Criteriile de audit pot fi diferite de la un audit la altul, în funcţie de obiectivele specifice ale misiunii de 
audit. 


4.1.5 Determinarea naturii şi volumului procedurilor de audit 


Natura şi volumul procedurilor de audit necesare pentru evaluarea controalelor aferente mediului 
informatizat variază în funcţie de obiectivele auditului şi de alţi factori care trebuie luaţi în considerare: 
natura şi complexitatea sistemului informatic al entității, mediul de control al entității, precum şi conturile si 
aplicaţiile semnificative pentru obţinerea situaţiilor financiare. 


Auditorul public extern cu atribuţii de evaluare a sistemului IT şi auditorul public extern cu atribuţii de 
auditare a situaţiilor financiar contabile trebuie să coopereze pentru a determina care sunt activităţile care 
vor fi incluse în procesul de revizuire. Când auditul sistemului informatic este o parte din misiunea de 
audit financiar, evaluarea controalelor IT face parte dintr-un efort consistent atât de evaluare a 
controalelor, cât şi de evaluare a fiabilitatii datelor financiare raportate. 
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4.1.6 Revizuirea controalelor IT în cadrul misiunilor de audit 
financiar 


Misiunile de audit financiar au un rol central în furnizarea unor informaţii financiare mai fiabile şi mai utile 
factorilor de decizie şi în perfecţionarea sistemului de control intern pentru a fi adecvat cu sistemele de 
management financiar. Controalele IT reprezintă un factor semnificativ în atingerea acestor scopuri şi în 
înțelegerea de către auditor a structurii controlului intern al entității. Acestea trebuie luate în considerare 
pe parcursul întregului ciclu de viata al auditului. 


4.2 Etapele auditului sistemelor informatice 


Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea şi 
revizuirea auditului. 


Structura de specialitate care efectuează misiunea de audit al sistemelor informatice instiinteaza, prin 
adresa de notificare, entităţile incluse în programul de activitate, aprobat de plenul Curţii de Conturi, 
asupra misiunii de audit ce urmează a se realiza la acestea. 


Misiunea de audit al sistemelor informatice se deschide în cadrul unei întâlniri cu conducerea entității 
auditate, organizate la sediul acesteia, iniţiate de structura de specialitate a Curţii de Conturi care 
desfăşoară auditul. Din partea Curţii de Conturi, la întâlnire pot să participe şeful departamentului / 
directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, după caz, şi 
echipa de audit desemnată. 


În cadrul întâlnirii de deschidere a auditului se prezintă echipa de audit, tema şi obiectivele auditului, se 
stabilesc persoanele de contact, precum şi alte detalii necesare realizării auditului şi se clarifică aspectele 
legate de asigurarea unor spaţii de lucru adecvate şi a suportului logistic corespunzător. 


Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui să aibă suficiente 
cunoştinţe în domeniul tehnologiei informaţiei şi comunicaţiilor, care să-i permită înţelegerea strategiilor, 
politicilor şi activităţilor care fac obiectul auditului. 


De asemenea, auditorul public extern trebuie să deţină cunoştinţele necesare pentru identificarea 
riscurilor induse de funcţionarea sistemului informatic, precum şi pentru evaluarea metodelor de tratare a 
acestor riscuri (gradul de adecvare al sistemelor de control intern, inclusiv infrastructura de securitate şi 
controalele aferente). 

Înțelegerea acestui domeniu îi va permite auditorului să determine natura, durata şi întinderea 
procedurilor de audit, să stabilească efectul dependenței entității de sistemul informatic şi să evalueze 
capacitatea entității de a asigura continuitatea activităţii. 


Auditorul trebuie să planifice şi să efectueze auditul astfel încât să obţină o asigurare rezonabilă privind 
existenţa sau absenţa unor anomalii, deficienţe de implementare sau erori semnificative. 


Metodologia care trebuie utilizată pentru evaluarea controalelor IT / IS presupune atât evaluarea 
controalelor generale aferente mediului de implementare a sistemului informatic la nivelul entității, cat si 
evaluarea controalelor de aplicaţie, asupra datelor de intrare, a prelucrărilor şi a datelor de ieşire asociate 
cu aplicaţiile individuale. 


Controalele generale vizează strategiile, politicile şi procedurile care se aplică tuturor sistemelor 
informatice ale entității sau numai asupra unui segment al acestora, cum ar fi de exemplu protecţia 
datelor, protecţia programelor, prevenirea accesului neautorizat, asigurarea continuității sistemului. 
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Eficacitatea controalelor generale este un factor semnificativ în determinarea eficacitatii controalelor de 
aplicaţie. Fără un sistem de controale generale fiabil, controalele de aplicaţie nu pot fi eficace din cauza 
nesigurantei în ceea ce priveşte protecţia fata de tentativele de alterare sau de distrugere a informaţiilor si 
programelor sau fata de atacurile fizice asupra sistemului de calcul. 


Controalele de aplicaţie sunt specifice fiecărei aplicaţii şi oferă asigurarea că tranzacţiile sunt valide, 
autorizate, prelucrate şi raportate complet. Acest tip de controale include tehnici de control automate sau 
revizuiri manuale ale rapoartelor (situaţiilor) generate de calculator şi identificarea articolelor eronate sau 
neuzuale. 


Atât controalele generale cât şi controalele de aplicaţie trebuie să fie eficace pentru a contribui la 
obținerea unei asigurări că informaţia critică obţinută în urma prelucrărilor pe calculator este fiabilă, 
adecvată, disponibilă şi protejată în ceea ce priveşte confidentialitatea. 


4.2.1 Planificarea auditului 


Planificarea este prima etapă din ciclul de viaţă al auditului, corectitudinea acesteia asigurând eficienţa şi 
execuţia efectivă a tuturor celorlalte etape ale auditului. Planificarea presupune obţinerea de informaţii 
privind entitatea auditată şi de informaţii despre sistemul de control intern al acesteia. De asemenea, şi 
foarte important, planificarea trebuie să includă o evaluare a riscurilor care decurg din funcţionarea 
acestor sisteme. 


Planificarea auditului are la bază o strategie de audit, care se formulează pornind de la definirea abordării 
auditului şi precizează elemente legate de coordonarea misiunii de audit, echipa implicată în această 
misiune, atribuţiile în cadrul echipei, orizontul de timp şi direcţiile principale de acţiune. 


Scopul planificării auditului IT / IS este acela de a obţine o înţelegere a mediului în care funcţionează 
sistemul informatic în cadrul entității auditate, de a evalua riscul de eroare sau de fraudă, de a elabora o 
abordare eficientă a auditului prin care să se colecteze probe suficiente şi de încredere în scopul formării 
unei opinii, şi de a aloca resursele necesare pentru realizarea acestor activităţi. Planificarea activităţilor 
are în vedere minimizarea costurilor auditului. 


Planificarea auditului sistemelor informatice trebuie să includă toate fazele necesare atingerii obiectivelor 
misiunii auditului, respectiv: documentarea privind activitatea auditată, programul sau sistemul care face 
obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit şi a tehnicilor aferente, a 
metodelor de sintetizare, analiză şi interpretare a probelor de audit, identificarea şi evaluarea riscurilor 
generate de furnizarea serviciilor electronice. 


În cazul auditării sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme 
asupra planului misiunii de audit. Această analiză are la bază următoarele activităţi: 

e cunoaşterea relaţiei dintre situaţiile financiare şi sistemele informatice care le susţin; 

e evaluarea necesităţii implicării în audit a specialiştilor în audit IT / IS; 

e luarea în considerare a impactului implementării şi utilizării sistemului informatic asupra riscului, 
atât la nivelul entității cât şi pentru domeniul financiar-contabil; 

e luarea în considerare a posibilităţilor de utilizare a tehnicilor de audit asistat de calculator pentru 
susținerea auditului, inclusiv identificarea celor mai adecvate mijloace de accesare şi analiză a 
datelor aferente tranzacţiilor; 

e analiza modului de includere a evaluării controalelor IT în abordarea auditului; 

e identificarea sistemelor informatice financiar-contabile în curs de dezvoltare care vor necesita 
implicarea auditului. 
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Aceste activităţi fac parte din evaluarea IT / IS pe care auditorii trebuie să o finalizeze ca parte integrantă 
a planificării auditului. Dacă sistemele au un grad de complexitate ridicat, este indicat să se utilizeze un 
specialist în audit IT / IS pentru a finaliza sau a asigura consultanţă pentru finalizarea întregii analize sau 
a unei parti din aceasta. Dacă există o evaluare anterioară finalizată, aceasta poate fi actualizată şi se va 
pune accent pe revizuirea aplicaţiilor noi şi pe schimbările majore ale sistemelor existente. 


Sistemul informatic constituie suportul furnizării informaţiei şi devine indispensabil în condiţiile Societăţii 
Informaționale. Datorită extinderii misiunilor de audit financiar şi a acţiunilor de control care se desfăşoară 
în medii informatizate, se accentuează necesitatea asigurării convergentei metodelor şi standardelor de 
audit financiar cu metodele şi standardele de audit IT. Pentru a verifica satisfacerea cerinţelor pentru 
informatie (eficacitate, eficiență, confidentialitate, integritate, disponibilitate, conformitate şi încredere), se 
va avea în vedere, auditarea sistemului informatic care furnizează informaţia financiar-contabilă. 


Documentarea în auditul sistemelor informatice 


Pentru stabilirea unei strategii de audit, auditorul trebuie să obţină informaţii şi cunoştinţe legate de 
entitatea auditată şi de mediul în care aceasta operează. Activitatea de documentare are ca scop 
cunoaşterea obiectivelor entității cu privire la performanţa tehnologiei informaţiei, precum şi a principalelor 
aspecte legate de coordonarea, structura şi funcţionalitatea sistemelor, serviciilor şi aplicaţiilor care susţin 
obiectivele, în vederea alegerii celor mai adecvate metode, tehnici şi proceduri de audit. 


În faza de planificare, auditorul obţine o înţelegere a operaţiilor şi controalelor IT şi a riscurilor asociate. 
Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil să fie eficace. În situaţia 
în care controalele au o probabilitate mare de a fi eficace şi dacă sunt relevante pentru obiectivele misiunii 
de audit, auditorul trebuie să determine natura şi volumul procedurilor de audit necesare pentru a 
confirma ipotezele. În situaţia în care controalele nu au o probabilitate mare de a fi eficace, auditorul 
trebuie să obţină o înțelegere suficientă a riscurilor de control asociate pentru a formula constatări 
adecvate şi recomandări asociate privind acţiuni corective. 

De asemenea, auditorul trebuie să determine natura, întinderea şi volumul testelor necesare, în vederea 
alegerii celor mai adecvate metode, tehnici şi proceduri de audit. 


Metodele utilizate pentru colectarea informaţiilor în faza de documentare sunt: 
o prezentări în cadrul unor discuţii preliminare cu reprezentanţii managementului entității auditate; 
consultarea unor materiale documentare relevante privind activitatea entității; 
consultarea legislaţiei aferente tematicii; 
consultarea documentatiilor tehnice; 
documentare în domeniul standardelor şi bunelor practici; 
interviuri cu persoanele implicate în coordonarea, monitorizarea, administrarea, întreţinerea şi 
utilizarea sistemului informatic; 
participarea la demonstraţii privind utilizarea sistemului; 
studiul documentar realizat prin accesarea pe Internet a unor informaţii publicate pe website-ul 
entității auditate. 


O 0 0 0 


O 


Cunoaşterea suficientă a entității, respectiv a sistemului informatic este fundamentală pentru planificarea 
şi efectuarea procedurilor de audit, precum şi pentru definirea criteriilor, metodelor şi tehnicilor de 
evaluare a rezultatelor şi a indicatorilor de performanţă. Pe baza acesteia, auditorul realizează o evaluare 
preliminară a sistemului şi identifică punctele critice care vor fi testate în detaliu în cadrul auditului. 


In faza de cunoaştere a entității, auditorul va lua în considerare identificarea şi analiza factorilor care pot 
influenţa procesul de audit: 

o componentele sistemului; 

o activităţile, problematica şi nivelele de decizie; 

o atribuțiile entității, pe nivele de implicare; 
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coordonarea şi monitorizarea proiectelor IT; 

normele metodologice şi standardele în domeniu; 

cadrul legislativ şi de reglementare în care entitatea îşi desfăşoară activitatea; 

soluţia organizatorică privind implementarea sistemului informatic (desfăşurare în teritoriu, 
etapizarea activităţilor, alocarea sarcinilor şi responsabilitatilor, selecţia personalului); 

arhitectura sistemului informatic: platforma hardware / software (soluţii de implementare, 
echipamente, arhitecturi de reţea, licenţe, desfăşurare în teritoriu, locaţii funcţionale, versiuni 
operaţionale); fluxuri de colectare / transmitere / stocare a informaţiilor (documente text, conţinut 
digital, tehnici multimedia); 

factorii care influenţează funcţionalitatea sistemului: complexitatea componentelor software, 
sistemul de constituire, achiziţie, validare, utilizare a fondului documentar (documente text, 
conţinut digital, tehnici multimedia), operarea sistemului, interfaţa utilizator, schimbul de date între 
structuri,  interoperabilitate, anomalii în implementare, modalităţi de raportare şi operare a 
corecţiilor, siguranța în funcţionare, rata căderilor, puncte critice, instruirea personalului utilizator, 
documentaţie tehnică, ghiduri de operare, forme şi programe de instruire a personalului, 
asigurarea suportului tehnic; 

raportarea şi soluţionarea problemelor tehnice, organizatorice, de personal. 


În cadrul documentarii se vor identifica punctele critice care acumulează potenţialul unor riscuri generate 
de implementarea şi utilizarea sistemului informatic: 


slaba implicarea a managementului; 

obiective neatinse sau îndeplinite parţial; 

iniţiative nefundamentate corespunzător; 

sisteme interne de control organizate sau conduse necorespunzător; 
pierderi importante cauzate de calamitati naturale, furturi etc.; 

lipsa încrederii în tehnologia informaţiei; 

lipsa de interes fata de planificarea continuității sistemului (proceduri de salvare a datelor, 
securitatea sistemului informatic, recuperare în caz de dezastru); 
calitatea necorespunzătoare a serviciilor furnizate utilizatorilor sistemului; 
cheltuieli nejustificate: intranet, Internet, resurse umane; 

costuri şi depăşiri semnificative ale termenelor; 

existenţa unor reclamaţii, observaţii, contestaţii. 


Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza Listei de 
verificare a controalelor generale IT, care conţine următoarele categorii de obiective de control: 


managementul funcţiei IT; 

securitatea fizică şi controalele de mediu; 
securitatea informaţiei şi a sistemelor; 
continuitatea sistemelor; 

managementul schimbării şi dezvoltarea de sistem; 
auditul intern. 


Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către 
auditor, în funcţie de obiectivele specifice ale auditului. De asemenea, se va analiza modul în care aceste 
controale afectează eficacitatea sistemului de control intern al entității. 


Evaluarea riscurilor 


După obţinerea unei înţelegeri asupra mediului informatizat al entității, auditorul va evalua riscul inerent si 
riscul de control, factori care se iau în considerare la determinarea riscului de audit. 

Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat în termenii următoarelor trei 
componente: 
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Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra 
resurselor controlate de sistemul informatic: furt material, distrugere, dezvăluire, modificări 
neautorizate, incompatibilitate, în lipsa controalelor interne asociate. 

Riscul de control, care reprezintă riscul ca erorile materiale din datele entității să nu fie 
prevenite sau detectate şi corectate în timp util de structura controlului intern al entității. 
Riscul de nedetectare, care reprezintă riscul ca auditorul să nu detecteze erorile existente în 
sistem. 


Factori care afectează riscul inerent 


Operatiile informatizate pot introduce factori aditionali de risc inerent. Auditorul trebuie să ia în 
considerare aceşti factori şi să evalueze impactul prelucrărilor pe calculator asupra riscului inerent. 

Pentru sistemele informatice financiar-contabile, cei mai relevanti factori induşi de mediul informatizat sunt 
menţionaţi în continuare. 


Prelucrarea uniformă a tranzacţiilor: favorizează propagarea erorilor pentru tranzacţiile 
similare şi reduce substanţial posibilitatea prelucrării selective a erorilor. 

Prelucrarea automată: probele aferente acestor operaţiuni pot sau nu pot fi vizibile. 

Potential crescut de nedetectare a greşelilor: se datorează implicării umane în prelucrare mai 
puţin decât în sistemele manuale, ceea ce creşte potenţialul obţinerii accesului neautorizat al 
indivizilor la informaţiile sensibile şi al alterării datelor fără probe vizibile. Datorită formatului 
electronic, schimbările programelor şi datelor sunt dificil de detectat. De asemenea, este 
probabil ca utilizatorii să poată interveni mai uşor asupra formei electronice decât asupra 
rapoartelor manuale. 

Existenţa, completitudinea şi volumul parcursului auditului: parcursul auditului financiar 
reprezintă proba care demonstrează modul în care a fost iniţiată, prelucrată şi agregată o 
tranzacţie specifică şi reprezintă o cerinţă fundamentală. Anumite sisteme informatice sunt 
proiectate pentru a reţine parcursul auditului numai pentru o perioadă scurtă, numai în format 
electronic şi numai într-o formă sintetică. De asemenea, informaţia generată poate fi prea 
voluminoasă pentru a putea fi analizată cu eficacitate. Tranzacţiile pot rezulta dintr-o 
agregare a informaţiei din numeroase surse. Fără utilizarea unor produse software de 
regăsire şi prelucrare, extragerea tranzacţiilor ar putea deveni extrem de dificilă. Fără un 
parcurs al auditului, poate să nu fie fezabilă formularea unei opinii categorice privind situaţiile 
financiare. Sistemele financiare trebuie să permită auditorului să urmărească tranzacţiile 
începând cu intrarea iniţială, tranzacţiile generate de sistem şi tranzacţiile cu alocare internă; 
până la reflectarea lor corectă în situaţiile financiare. Toate datele relevante şi informaţiile de 
parcurs al auditului financiar trebuie reţinute un timp suficient pentru finalizarea auditului. 
Documentele sursă trebuie de asemenea să facă parte din parcursul auditului financiar, şi 
acestea trebuie şi ele să fie păstrate pana la finalizarea auditului. 

Natura configurației hardware şi software utilizate: tipul de prelucrare (locală, online, 
distribuită); dispozitivele periferice, interfețele sistem sau conexiunea la Internet; reţelele 
distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele 
sistemului, posibila alterare a datelor, dezvăluirea informaţiilor sensibile, dependenţa de 
furnizorul de programe. 

Tranzacţii neuzuale: Programele dezvoltate pentru prelucrarea tranzacţiilor neuzuale sau la o 
cerere specială a managementului pentru extragerea unor informaţii specifice se plasează în 
afara sistemului standard. 
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Factori care afectează riscul de control 


În anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a 
identificat urmatoarele componente interrelationate ale sistemului de control intern care au fost adoptate 


de AICPASY: 


Mediul de control, care include: integritatea, valorile etice şi competenţa personalului entității; 
viziunea managementului şi stilul de operare şi modul în care managementul îşi manifestă 
autoritatea, îşi organizează şi dezvoltă resursele umane. 

Evaluarea riscurilor: identificarea şi analiza riscurilor relevante pentru atingerea obiectivelor 
entității, în scopul formării unei baze pentru determinarea modului in care acestea pot fi 
gestionate. 

Activităţile de control: politicile şi procedurile care oferă asigurarea că deciziile manage- 
mentului sunt aduse la îndeplinire. Acestea includ activităţi care presupun: aprobări, verificări, 
reconcilieri, revizuiri ale performanţei şi separarea atribuţiilor. 

Informarea si comunicarea, care presupun identificarea, capturarea si comunicarea 
informaţiei pertinente către indivizi, într-o formă adecvată şi într-un timp care să le permită 
îndeplinirea responsabilitatilor. 

Monitorizarea: se referă la activităţile viitoare care presupun evaluarea continuă a perfor- 
mantei controlului intern şi asigurarea că deficienţele identificate sunt raportate manage- 
mentului de vârf. 


Atunci când evaluează sistemul de control intern, auditorul trebuie să ia în considerare factorii specifici 
mediului informatizat. De exemplu, auditorul trebuie să ia în considerare atitudinea şi conştientizarea 
managementului în ceea ce priveşte operaţiile informatizate: 


Considerarea riscurilor şi beneficiilor aplicaţiilor informatice; 

Comunicarea politicilor privind funcţiile informatizate şi responsabilitatile; 

Supervizarea politicilor şi procedurilor referitoare la dezvoltarea, modificarea, întreţinerea şi 
utilizarea programelor şi fişierelor, precum şi pentru controlul accesului la acestea; 
Considerarea riscului inerent şi a riscului de control aferente calculatoarelor şi datelor 
electronice; 

Reacţia la recomandările şi cerinţele anterioare; 

Planificarea operativă şi eficace a activităţilor IT / IS; 

Conştientizarea dependenţei de sistemul informatic în luarea deciziei. 


Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al 
sistemelor informatice vor fi clasificate în trei categorii: 


a) Riscuri privind planificarea, dezvoltarea şi introducerea sistemelor şi serviciilor informatice 


Aceste riscuri decurg din: 

Lipsa unei planificări strategice; 

Insatisfactia utilizatorilor; ignorarea explorării profilului utilizatorilor; 

Neglijarea aspectelor legate de asigurarea calităţii; 

Lipsa unor evaluări privind eficacitatea costurilor; 

Neîndeplinirea atribuţiilor privind crearea cadrului necesar legal şi organizational: 

Implicarea sporadică şi inconsecventă în elaborarea şi implementarea reglementărilor şi 
standardelor IT şi de securitate; 

Furnizarea neadecvată a infrastructurii tehnice; 

Dependenţa de companiile IT; 
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Lipsa reglementării drepturilor privind reţeaua Internet; 
Lipsa unor evaluări ale proiectelor raportate la evoluţiile tehnologiilor informaţiei şi comunicaţiilor. 


b) Riscuri în funcţionarea sistemelor şi serviciilor informatice 


Aceste riscuri decurg din: 


= Politici de securitate IT tehnică şi organizaţională neadecvate, care afectează integritatea, 
autenticitatea, confidentialitatea şi disponibilitatea informaţiilor, securizarea transferului de 
date; 

=  Capabilităţile de auditare a informaţiilor; 

= Securitatea tranzacţiilor; 

=  Redundanţă, discontinuități media şi interoperabilitate neadecvata. 


c) Riscuri şi efecte în plan economic 


Aceste riscuri decurg din: 


= Decizii neadecvate, datorate pierderilor sau alterării informaţiilor furnizate de sistemul 
informatic; 

= Pierderi datorate unor disfunctionalitati generate de indisponibilitatea informaţiilor în timp real; 

= Dezvoltarea şi implementarea necontrolată a unor componente informatice eterogene; 

= Cheltuieli dispersate, nejustificate; 

= Scăderea eficienţei serviciilor informatice furnizate. 


Procedurile de audit vor furniza elemente pentru fundamentarea opiniei de audit privind gestionarea 
resurselor informatice disponibile (date, aplicaţii, tehnologii, facilităţi, resurse umane etc.), în scopul 
atingerii obiectivelor entității, prin asigurarea eficienţei, confidenţialităţii, integrităţii, disponibilităţii, 
siguranţei în funcţionare şi conformităţii cu un cadru de referinţă (standarde, bune practici, cadru legislativ 
etc.). Această opinie trebuie să includă, în cazul neconformitatilor, nivelul de risc (minor, mediu, major) şi 
să contribuie prin recomandările formulate la remedierea acestora. 


Evaluarea riscurilor se va efectua în conformitate cu următoarele criterii generale: 


Utilizarea sistemului informatic se realizează în cadrul unei structuri clar definite; conducerea la 
cel mai înalt nivel este informată despre activitatea IT şi este receptiva la schimbare; gestionarea 
resurselor umane se face eficient; monitorizarea cadrului legislativ şi a contractelor cu principalii 
furnizori se desfăşoară corespunzător; are loc revizuirea functionalitatii, operării şi dezvoltărilor de 
componente, astfel încât acestea sa fie în concordanţă cu necesităţile activităţii entității şi să nu 
expună entitatea la riscuri nejustificate. 

Accesul neautorizat la datele sau programele critice este prevenit şi controlat; mediul în care 
operează sistemele este sigur din punct de vedere al confidentialitatii, integrităţii şi credibilităţii. 
Aplicațiile sunt disponibile atunci când este nevoie, funcţionează conform cerinţelor, sunt fiabile şi 
au implementate controale sigure asupra integrităţii datelor. 

Sunt luate măsurile necesare pentru diminuarea riscului deteriorării (accidentale sau deliberate) 
sau al furtului echipamentelor IT, se acţionează corespunzător pentru reducerea probabilității 
apariţiei unor defecţiuni majore şi sunt stabilite măsurile necesare pentru ca, în cazul 
indisponibilizării facilitatilor de procesare, entitatea să îşi reia in mod eficient activitatea, într-o 
perioadă de timp rezonabilă. 

Sistemul este conform cu reglementările legale în vigoare. 


În evaluarea riscurilor IT se va utiliza Lista de verificare privind evaluarea riscurilor generate de 
funcţionarea sistemului informatic. Aceasta conţine următoarele categorii de probleme generatoare de 


riscuri: 
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+ dependenţa de sistemul informatic; 

e resursele şi cunoştinţele de tehnologia informaţiei; 
+ încrederea în sistemul informatic; 

e schimbările în sistemul informatic; 

+  externalizarea serviciilor de tehnologia informaţiei; 
+ focalizarea pe activitate; 

e securitatea informaţiei şi a sistemului; 

+ managementul tehnologiei informaţiei. 


Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către 
auditor, în funcţie de obiectivele specifice ale auditului. 


Descrierea riscurilor identificate de auditorii publici externi trebuie să includă informaţii privind cauzele şi 
impactul posibil al acestora, precum şi nivelul de risc (mic, mediu sau mare) evaluat de auditorul public 
extern pe baza rationamentului profesional. 


Elaborarea Planului de audit 


Planul de audit oferă cadrul general pentru atingerea obiectivelor auditului într-un mod eficient şi oportun. 
Pe parcursul desfăşurării auditului, se admit ajustări ale planului de audit, justificate de apariţia unor 
elemente noi fata de evaluarea contextului initial, care necesită adâncirea unor investigaţii şi aplicarea 
unor proceduri de audit mai detaliate. 

Planul de audit conţine informaţii privind natura, durata şi programarea procedurilor de audit, precum şi 
resursele necesare (de personal, financiare, tehnice, documentare etc.). 


Elaborarea planului de audit se concentrează pe următoarele direcţii: definirea ariei de acoperire a 
auditului, descrierea modului în care se va desfăşura auditul, furnizarea unui mijloc de comunicare a 
informaţiilor despre audit întregului personal implicat în auditare. 


Planul de audit conţine următoarele secţiuni: 


1. Informaţii despre entitatea auditată: obiective, structură, dotare hardware şi software, 
volumul operaţiilor prelucrate automat; 

2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul 

auditorului IT; 

Evidenţierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat; 

Criteriile de audit stabilite; 

5. Etapele misiunii de audit şi tipurile de evaluări aferente: procedurile de audit prin care se 
obţin probele de audit, metodele şi tehnicile de analiză, sinteză şi interpretare a probelor de 
audit; 

6. Resurse necesare: personal, timp, resurse tehnice şi financiare. 


A w 


Planul de audit se avizează de directorul din cadrul departamentului de specialitate / directorul adjunct al 
camerei de conturi şi se aprobă de şeful de departament / directorul camerei de conturi. 

Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfăşurării misiunii de audit de 
către membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curţii de Conturi, în situaţii 
temeinic justificate. 


Auditorii publici externi trebuie să comunice cu entitatea auditată într-o manieră constructivă, pe tot 
parcursul desfăşurării misiunii de audit, prin organizarea unor întâlniri sau prin mijloace electronice. 


In scopul îndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit 
pentru categoriile de probleme specifice sistemelor informatice: evaluarea calităţii managementului, 
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securitatea fizică şi controalele de mediu, securitatea informaţiei şi a sistemului informatic, continuitatea 
sistemului, managementul schimbării şi al dezvoltării sistemului, funcţionalitatea aplicaţiilor, calitatea 
auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcţionarea sistemului 
informatic. Aceste proceduri au asociate instrucţiuni metodologice, liste de verificare, machete şi 
chestionare, după caz. 

Procedurile de audit se referă la obţinerea probelor de audit, la analiza probelor de audit şi la sintetizarea 
rezultatelor. 


4.2.2 Efectuarea auditului 


Obţinerea probelor de audit 
Probele de audit specifice sistemelor informatice pot fi încadrate în următoarele categorii: 


a) Probe de audit fizice - rezultate din demonstraţii ale aplicaţiilor, documentatii tehnice, diagrame, 
scheme de arhitectură şi alte elemente echivalente acestora. 

b) Probe de audit verbale — răspunsuri la interviuri, sondaje. 

c) Probe de audit documentare — documente, documentatii, manuale în formă scrisă sau în format 
electronic. 

d) Probe de audit analitice — rezultate obţinute în urma evaluărilor şi analizei fondului de informaţii 
(indicatori, tendinţe). 


Auditorii publici externi vor colecta probe de audit suficiente şi adecvate. În cazul în care probele de audit 
nu sunt suficiente şi/sau adecvate, auditorii publici externi vor extinde procedurile de colectare cu teste 
suplimentare, aprofundate asupra sistemului informatic. 


În cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea unor elemente 
sau acţiuni care constituie factori de risc şi se va face o analiză a impactului acestora asupra activităţii 
entității. 


Alterarea probelor de audit poate fi cauzată de existenţa unor anomalii sau erori sistematice ale 
funcţionării programelor, care afectează prelucrarea întregului fond de date şi conduc la obţinerea unor 
rezultate eronate, greu de corectat prin proceduri manuale, având în vedere volumul mare al tranzacţiilor 
şi complexitatea algoritmilor de prelucrare. Ca urmare a gestionării automate a unui volum mare de date, 
fără implicare umană, există riscul nedetectării pentru o perioadă lungă de timp a unor erori datorate unor 
anomalii de proiectare sau de actualizare a unor componente software. 


Tehnici de audit 
Pentru obţinerea probelor de audit se vor utiliza, în principal, următoarele tehnici de audit: 


e Realizarea de interviuri cu persoane cheie implicate în proiect (coordonatori, utilizatori, 
administratori de sistem IT etc.); 

+ Utilizarea chestionarelor şi machetelor; 

+ Examinarea unor documentatii tehnice, economice, de monitorizare şi de raportare: grafice de 
implementare, corespondenţă, rapoarte interne, situaţii de raportare, rapoarte de stadiu al 
proiectului, registre de evidenţă, documentatii de monitorizare a utilizării, contracte, sinteze 
statistice, metodologii, standarde; 

+ Participarea la demonstraţii privind utilizarea sistemului ; 

+ Evaluarea portalului şi a serviciilor electronice; 

+ Utilizarea tehnicilor şi instrumentelor de audit asistat de calculator (IDEA, TeamMate, ACL sau 
alte aplicaţii utilizate); 
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+ Documentarea pe Internet în scopul informării asupra unor evenimente, comunicări, evoluţii 
legate de sistemul IT sau pentru consultarea unor documentatii tehnice. 


Colectarea şi inventarierea probelor de audit 


Colectarea şi inventarierea probelor de audit se referă la constituirea fondului de date în format electronic 
şi / sau în format tipărit pe baza machetelor, chestionarelor şi a listelor de verificare completate, precum şi 
la organizarea şi stocarea acestora. 


Natura probelor de audit este dependentă de scopul auditului şi de modelul de auditare utilizat. Deşi 
modelele de auditare pot diferi în ceea ce priveşte detaliile, ele reflectă şi acoperă cerinta comună de a 
furniza o asigurare rezonabilă că obiectivele şi criteriile impuse în cadrul unei misiuni de audit (de 
exemplu, audit financiar) sunt satisfăcute. 


Documentarea probelor de audit 


Obţinerea probelor de audit şi înscrierea acestora în documentele de lucru reprezintă activităţi esenţiale 
ale procesului de audit. Documentele de lucru se întocmesc pe măsura desfăşurării activităţilor din toate 
etapele auditului. Documentele de lucru trebuie să fie întocmite şi completate cu acuratețe, să fie clare si 
inteligibile, să fie lizibile şi aranjate în ordine, să se refere strict la aspectele semnificative, relevante si 
utile din punctul de vedere al auditului. 

Aceleaşi cerinţe se aplică şi pentru documentele de lucru utilizate în format electronic. 


Documentarea corespunzătoare a activităţii de audit are în vedere următoarele considerente: 


e  Confirmă şi susţine opiniile auditorilor exprimate în raportul de audit; 

e Îmbunătăţeşte performanța activităţii de audit; 

e Constituie o sursă de informaţii pentru pregătirea raportului de audit sau pentru a răspunde 
oricăror întrebări ale entității auditate sau ale altor parti interesate; 

e Constituie dovada respectării de către auditor a standardelor si a manualului de audit; 

e  Facilitează monitorizarea auditului; 

e  Furnizează informaţii privind expertiza în audit. 


Documentele de lucru, elaborate în format tipărit, vor fi organizate în dosare, iar documentele elaborate în 
format electronic vor fi organizate în colecţii de fişiere şi / sau baze de date. 

Documentele trebuie să fie prezentate într-o manieră inteligibilă, coerentă, consistentă cu obiectivele 
auditului. 


Pentru descrierea sistemelor entității auditate se utilizează următoarele tipuri de documente: diagrame de 
tip flowchart, prezentări narative, machete şi chestionare. Alegerea acestor tehnici variază în funcţie de 
practicile locale de audit, de preferința personală a auditorului si de complexitatea sistemelor auditate. 


Diagramele flowchart exprimă în mod grafic descrierea sistemului auditat. Diagramele flowchart 
înregistrează ciclul de viata al unei tranzacţii, de la iniţiere până la stocarea acesteia şi evidenţiază 
controalele şi procedurile automate şi manuale. 


Descrierea narativă a ciclului de prelucrare a tranzacţiilor este utilizată, de asemenea, în documentarea 
sistemelor. Se utilizează în conjunctie cu alte metode de documentare a sistemelor. Descrierea narativă 
include: obiectivele sistemului şi ţintele, procesele şi procedurile, legături şi interfeţe cu alte sisteme, 
controale, proceduri pentru condiţii speciale. 


Listele de verificare 


În cazul evaluărilor efectuate pentru auditarea infrastructurii IT, se vor utiliza următoarele liste de 
verificare: 
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+ Lista de verificare privind evaluarea controalelor generale IT; 
+ Lista de verificare privind evaluarea riscurilor generate de funcţionarea sistemului IT. 


Aceste liste de verificare se vor utiliza şi în cadrul misiunilor de audit financiar sau de audit al 
performanţei, pentru evaluarea controalelor generale IT şi a riscurilor generate de funcţionarea sistemului 
informatic. 

Listele de verificare generice nu exclud adăugarea altor categorii de probleme considerate semnificative 
de către auditor, în funcţie de obiectivele specifice ale auditului. 


În cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil 
pentru a formula o opinie privind încrederea în informaţiile furnizate de sistemul informatic, auditorul public 
extern va elabora Lista de verificare pentru testarea controalelor IT specifice aplicaţiei financiar-contabile, 
care conţine următoarele categorii de controale de aplicaţie: 


controale privind integritatea fişierelor; 
controale privind securitatea aplicaţiei; 
controale ale datelor de intrare; 

controale de prelucrare; 

controale ale ieşirilor; 

controale privind reţeaua şi comunicaţia; 
controale ale fişierelor cu date permanente. 


În Anexa 5 este prezentată o listă de verificare generică pentru testarea controalelor IT specifice aplicaţiei 
financiar-contabile. Aceasta poate fi extinsă de auditor, în condiţiile în care sunt necesare teste de audit 
suplimantare. 


În cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul funcţionării 
necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar. 


În cadrul entităţilor auditate, sistemele informatice care fac obiectul evaluării sunt utilizate ca suport pentru 
asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidenţa, prelucrarea şi obţinerea de 
rezultate, situaţii operative şi sintetice la toate nivelele de raportare. Din acest motiv, o categorie specială 
de controale IT se referă la conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ si 
de reglementare. 


Cerinţele legislative şi de reglementare includ: 


Legislaţia din domeniul finanţelor şi contabilităţii; 

Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor personale; 
Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii informatice; 
Reglementări financiare şi bancare; 

Legile cu privire la proprietatea intelectuală. 


În cazul sistemelor complexe sau desfăşurate la scară naţională (de exemplu, Sistemul Electronic 
National) se folosesc liste de verificare specializate elaborate în cadrul Curţii de Conturi a României: lista 
de verificare pentru evaluarea guvernantei sistemelor de tip e-guvernare, lista de verificare pentru 
evaluarea portalului web, lista de evaluare a perimetrului de securitate, liste de verificare pentru evaluarea 
serviciilor electronice, liste de verificare pentru evaluarea cadrului de interoperabilitate, precum şi alte liste 
de verificare a căror necesitate decurge din obiectivele auditului. 

Având în vedere specificul şi complexitatea ridicată a unor astfel de misiuni de audit, cadrul de auditare 
asociat necesită o tratare separată. 


Auditul performanţei implementării şi utilizării sistemelor informatice va lua în considerare următoarele 


aspecte: 
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+ Modul in care funcţionarea sistemului contribuie la modernizarea activităţii entității; 

+ Modul în care managementul adecvat al configuraţiilor IT contribuie la creşterea valorii adăugate 
prin utilizarea sistemului informatic, reflectat în economii privind costurile de achiziţie şi creşterea 
calităţii serviciilor; 

+ Creşterea semnificativă a productivităţii unor activităţi de rutină foarte mari consumatoare de timp 
şi resurse, care, transpuse în proceduri electronice (tehnoredactare, redactarea automată a docu- 
mentelor, căutări în arhive electronice, reutilizarea unor informaţii, accesarea pachetelor software 
legislative), se materializează în reduceri de costuri cu aceste activităţi; 

+  Scurtarea timpului de prelucrare prin reducerea numărului de erori şi evitarea reluării unor 
proceduri pentru remedierea acestora; 

+ Eliminarea paralelismelor şi integrarea proceselor, care se reflectă în creşterea eficienţei 
activităţii prin eliminarea redundantelor; 

+ Scăderea costurilor serviciilor, creşterea disponibilitatii acestora şi scăderea timpului de răspuns; 

e Creşterea gradului de instruire a personalului în utilizarea noilor tehnologii şi dezvoltarea de noi 
aptitudini; 

+ Reducerea costurilor administrative. 


Chestionarele 


Chestionarele conţin întrebări despre sistemele entității auditate şi constituie suportul pentru colectarea 
informaţiilor despre acestea. 

Chestionarele conţin, în general, opinii ale actorilor implicaţi în sistem referitoare la: acceptarea 
sistemului, calitatea instruirii, efectele sistemului asupra activităţii entității, calitatea documentaţiei 
tehnice, încrederea în sistemul informatic, dificultatea utilizării sistemului, efectele în planul modernizării 
activităţii, necesitatea extinderii sistemului. 

În cazul în care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conţin 
întrebări formulate astfel încât să poată fi agregate şi analizate în funcţie de criterii stabilite. Răspunsurile 
pot fi de tip DA/NU, note, ponderi, şi altele. De asemenea, sunt admise aprecieri personale şi comentarii. 
Pe baza informaţiilor colectate se pot elabora diagrame şi grafice care să exprime sugestiv concluzii 
referitoare la percepţia unei populaţii despre efectele implementării şi utilizării sistemului informatic supus 
evaluării. 


Machetele 


Machetele sunt elaborate de auditorii publici externi şi constituie suportul pentru colectarea informaţiilor 
legate de: bugetul IT / IS, configuraţia hardware / software, infrastructura de reţea, sistemul aplicativ, 
instruirea personalului, utilizarea sistemului informatic, costuri, furnizori. 


Sintetizarea, analiza şi interpretarea probelor de audit 


Auditorii publici externi vor face o evaluare a sistemelor informatice şi a aplicaţiilor, prin analiza, 
interpretarea şi sinteza informaţiilor obţinute în cadrul interviurilor sau colectate din sursele documentare 
şi prin intermediul machetelor, chestionarelor şi listelor de verificare. 

Aceste operaţiuni se bazează în principal pe elaborarea şi/sau utilizarea unor tabele sintetice, repre- 
zentari grafice, indicatori de performanţă, matrici de corelaţie etc. În acest scop se utilizează, pe scară din 
ce în ce mai largă, instrumentele şi tehnicile bazate pe calculator. 


Pag. 142 din 214 


Formularea constatărilor şi recomandărilor 


Evaluarea şi revizuirea sistemului informatic se fac prin analiza constatărilor rezultate şi interpretarea 
acestora. În funcţie de impactul pe care îl au neconformitatile constatate, se formulează recomandări 
pentru remedierea acestora şi reducerea nivelului riscurilor. Aceste recomandări reflectă opiniile 
auditorului asupra entității auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatările se vor 
referi la următoarele aspecte: evaluarea complexităţii sistemelor informatice, evaluarea generală a 
riscurilor entității în cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei aplicaţii, precum şi un punct 
de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale. 


4.2.3 Elaborarea raportului de audit şi valorificarea constatărilor 
consemnate 


Raportarea are ca scop punerea în evidenţă a punctelor slabe ale controalelor, identificate de auditor şi 
aducerea lor la cunoştinţa entității auditate prin intermediul raportului de audit şi al unei scrisori care 
conţine sinteza principalelor constatări şi recomandări. 


Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp şi aria de 
acoperire ale activităţii de auditare efectuate. 


Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit şi va include 
cele mai semnificative constatări, recomandări şi concluzii care au rezultat în cadrul misiunii de audit cu 
privire la stadiul şi evoluţia implementării şi utilizării sistemelor informatice existente în entitatea auditată. 
Raportul va include, de asemenea, opinia auditorilor cu privire la natura şi extinderea punctelor slabe ale 
controlului intern în cadrul entității auditate şi impactul posibil al acestora asupra activităţii entității. 


Recomandările formulate în raportul de audit nu trebuie să detalieze modul de implementare, aceasta 
fiind o responsabilitate a managementului entității auditate. 


Raportul de audit al sistemelor informatice trebuie să fie obiectiv şi corect, să cuprindă toate constatările 
relevante, inclusiv cele pozitive, să fie constructiv şi să prezinte concluziile şi recomandările formulate de 
echipa de audit. 


Pentru punerea de acord cu entitatea auditată cu privire la proiectul raportului de audit, are loc recon- 
cilierea care constă într-o dezbatere între echipa de audit şi conducerea entității auditate cu privire la 
constatările, concluziile şi recomandările formulate în cadrul misiunii de audit. Proiectul raportului de audit, 
împreună cu anexele la acesta, se transmit entității auditate, însoţit de o adresă de înaintare în care se 
precizează data la care va avea loc reconcilierea. Alături de echipa de audit, la conciliere poate participa 
şi conducerea departamentului / camerei de conturi. 


Entitatea auditată formulează punctul de vedere cu privire la constatările şi recomandările conţinute în 
proiectul raportului de audit şi il transmite, în termen de 10 zile, structurii care a efectuat auditul. 


În situaţia în care există diferente de opinii între auditorii publici externi şi conducerea entității auditate cu 
privire la conţinutul proiectului raportului de audit al sistemelor informatice, care nu pot fi soluționate cu 
ocazia reconcilierii, echipa de audit prezintă în raportul de audit al sistemelor informatice, punctul de 
vedere al entității auditate şi explică cu claritate motivele care au stat la baza neinsusirii acestora, daca 
este cazul. 

După discuţiile purtate cu entitatea auditată, auditorii publici externi pot modifica proiectul raportului de 
audit al sistemelor informatice, dacă entitatea auditată aduce probe de noi care să justifice modificarea 
constatărilor. 
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Recomandările formulate de auditorii publici externi în urma misiunii de audit al sistemelor informatice 
consemnate în actele întocmite vor putea fi îmbunătăţite de conducerea structurilor de specialitate ale 
CCR în a căror competenţă de verificare intra domeniul respectiv. 

In situaţia în care pe parcursul misiunii de audit se constată: erori / abateri grave de la legalitate si 
regularitate, fapte pentru care există indicii că au fost săvârşite cu încălcarea legii penale sau nerealizarea 
obiectivelor propuse de entitate în legătură cu programul / procesul / activitatea auditat (a) datorită 
nerespectării principiilor economicităţii, eficienţei si eficacitatii în utilizarea fondurilor publice şi în 
administrarea patrimoniului public şi privat al statului / unităţilor administrativ - teritoriale, se întocmesc 
proces verbal de constatare, precum şi celelalte tipuri de acte prevăzute la pct. 354 din Regulamentul 
privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor 
rezultate din aceste activităţi, aceste acte constituind anexe la raportul de audit al sistemelor informatice. 


Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat 
auditul şi va fi înaintat entității auditate, însoţit de o adresă de înaintare, pentru a fi înregistrat. 


Raportul de audit al sistemelor informatice, înregistrat la entitatea auditată va fi evidenţiat în registrul de 
intrări — ieşiri de la nivelul structurilor de specialitate respective, în Registrul special privind evidenţa 
actelor întocmite şi modul de valorificare a constatărilor consemnate în acestea şi în aplicaţia INFOPAC. 


Sinteza principalelor constatări, concluzii şi recomandări ale auditului, însoţită de o adresă semnată de 
şeful departamentului / directorul camerei de conturi se transmite entității auditate însoţită de o adresă în 
care se specifică termenul la care entitatea auditată va transmite Curţii de Conturi informaţii privind 
măsurile şi modul de implementare a recomandărilor cuprinse în raportul de audit. 


Raportul de audit al sistemului informatic sau o sinteză a principalelor constatări, concluzii şi recomandări 
ale acestuia pot fi transmise, după caz, şi instituţiilor publice interesate, Guvernului, comisiilor de 
specialitate din cadrul Parlamentului, prin intermediul departamentului în a cărui competenţă de verificare 
intră domeniul respectiv. 


În situaţia în care misiunea de audit al sistemelor informatice este coordonată de către un departament de 
specialitate, aspectele semnificative cuprinse în rapoartele de audit al sistemelor informatice întocmite la 
nivelul camerelor de conturi vor fi incluse în raportul de audit al sistemelor informatice întocmit la nivelul 
departamentului coordonator. 


Valorificarea constatărilor consemnate în raportul de audit al sistemelor informatice şi în anexele la acesta 
se face prin emiterea unei decizii de către şeful de departament / directorul camerei de conturi, potrivit 
competenţelor stabilite în Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de 
Conturi, precum şi valorificarea actelor rezultate din aceste activităţi. Decizia va conţine măsurile propuse 
de Curtea de Conturi pentru intrarea în legalitate, conform procedurii prevăzute la pct. 171 din 
Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi 
valorificarea actelor rezultate din aceste activităţi, precum şi pentru creşterea performanţei programului / 
proiectului / procesului / activităţii auditat (e). Recomandările formulate de auditorii publici externi vor sta 
la baza formulării măsurilor din decizie. 


4.2.4 Revizuirea auditului sistemelor informatice 


Revizuirea auditului se realizează în cadrul unei noi misiuni de audit, care are ca obiectiv evaluarea 
modului în care au fost implementate recomandările formulate în raportul de audit anterior aferent misiunii 
de audit al sistemelor informatice. Rezultatele se consemnează într-un nou raport de audit care conţine 
concluzii, constatări şi recomandări relative la stadiul implementării recomandărilor formulate în raportul 
de audit iniţial. 
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4.3 Evaluarea sistemelor informatice financiar-contabile 


În conformitate cu standardul ISA 400, “Evaluarea Riscului şi Controlului Intern”, auditorul va analiza dacă 
mediul de control şi procedurile de control aplicate de entitate activităţilor proprii desfăşurate în mediul 
informatizat, în măsura în care acestea sunt relevante pentru asertiunile situaţiilor financiare, este un 
mediu sigur. În cazul sistemelor informatice, atunci când procedurile sunt automatizate, când volumul 
tranzacţiilor este mare sau când probele electronice nu pot fi urmărite pe tot parcursul fluxului de 
prelucrare, auditorul poate decide că nu este posibil să reducă riscul de audit la un nivel acceptabil decât 
prin utilizarea testelor detaliate de audit. În astfel de cazuri sunt frecvent utilizate tehnici de audit asistat 
de calculator. 


De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante următoarele 
aspecte ale controlului intern: (a) menţinerea integrităţii procedurilor de control în mediul informatizat şi 
(b) asigurarea accesului la înregistrări relevante pentru a satisface necesităţile entității, precum şi în 
scopul auditului. 


Auditorul va analiza exhaustivitatea, acurateţea şi autorizarea informaţiilor furnizate pentru înregistrarea şi 
procesarea înregistrărilor financiare ale entității (integritatea tranzacţiei). Natura şi complexitatea 
aplicaţiilor influenţează natura şi amploarea riscurilor referitoare la înregistrarea şi procesarea tranzacţiilor 
electronice. 


Procedurile de audit referitoare la integritatea informaţiei, aferente tranzacţiilor electronice, se axează în 
mare parte pe evaluarea credibilitatii sistemelor utilizate pentru prelucrarea tranzacţiilor. Utilizarea 
serviciilor informatice iniţiază, în mod automat, alte secvenţe de prelucrare a tranzacţiei faţă de sistemele 
tradiţionale. Procedurile de audit pentru sistemele informatice trebuie să se concentreze asupra 
controalelor automate referitoare la integritatea tranzacţiilor, pe măsură ce acestea sunt înregistrate şi 
apoi procesate imediat. 


Într-un mediu informatic, controalele referitoare la integritatea tranzacţiei sunt în majoritatea cazurilor 
proiectate pentru a asigura, printre altele: validarea intrărilor şi prevenirea duplicării sau a omiterii 
tranzacţiilor. 


În general, tranzacţiile electronice nu au asociate înregistrări scrise şi pot fi mult mai uşor de distrus sau 
de alterat decât cele scrise, fără a lăsa nici o urmă a distrugerii sau alterării. Auditorul trebuie să 
stabilească dacă politicile de securitate a informaţiei şi controalele de securitate ale entității sunt 
implementate adecvat pentru prevenirea modificărilor neautorizate ale înregistrărilor contabile, ale 
sistemului contabil sau ale sistemelor care furnizează date sistemului contabil. Aceasta se poate realiza 
prin testarea controalelor automate, cum ar fi verificările de integritate a datelor, ştampile de dată 
electronică, semnături digitale şi controale de versiune în vederea stabilirii autenticităţii şi integrităţii 
probelor electronice. În funcţie de estimările cu privire la aceste controale, auditorul poate considera 
necesară efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzacţiilor sau a 
soldurilor conturilor cu terte parti®®. 


Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica şi înregistra 
acţiunile utilizatorilor individuali nu pot să-i facă ulterior răspunzători de acţiunile lor. Utilizatorii sunt mult 
mai înclinați să efectueze activităţi informatice neautorizate daca nu pot fi identificaţi şi făcuţi răspunzători. 


Riscul procesării de tranzacţii neautorizate poate fi redus prin prezenţa unor controale care identifică 
utilizatorii individuali şi întreprind acţiuni de contracarare a eventualelor acţiuni ostile ale acestora. Riscul 
poate fi redus prin obligativitatea autentificării la accesarea sistemului şi prin introducerea unor controale 
suplimentare, sub formă de semnături electronice. 
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Având în vedere faptul că datele tranzacţiilor electronice se regăsesc într-o formă intangibilă pe diverse 
medii de stocare, acestea pot fi modificate fără a lăsa nici o urmă. Auditorii trebuie să evalueze existența 
şi eficiența controalelor care previn efectuarea de modificări neautorizate. Controale neadecvate pot 
conduce la situaţia ca auditorul să nu poată acorda încredere înregistrărilor din calculatoare sau integrităţii 
parcursului auditului. 


Programul de aplicaţie şi datele tranzacţiei trebuie sa fie protejate fata de modificări neautorizate prin 
utilizarea de controale adecvate ale accesului fizic şi logic. 


Platile prin calculator, ca şi transferurile electronice de fonduri, sunt mult mai uşor de modificat decât 
instrumentele de plată pe hârtie şi de aceea trebuie sa aibă o protecţie adecvată. Integritatea tranzacţiilor 
electronice poate fi protejată prin tehnici precum criptarea datelor, semnături electronice sau prin 
utilizarea unui algoritm de dispersare a datelor. 


Dacă datele au valoare financiară, prevenirea dublării tranzacţiilor prin copiere este în mod deosebit 
importantă. Sistemele utilizatorului trebuie să încorporeze controale care să detecteze şi să prevină 
procesarea de tranzacţii duble. 

Controalele pot include atribuirea de numere secvențiale tranzacţiilor şi verificarea de rutină a totalurilor 
de control. 


Fişierele pe hârtie pot fi uşor protejate faţă de accesul neautorizat prin implementarea unor controale ale 
accesului fizic. Mijloace similare de protecţie pot fi utilizate pentru protecţia dispozitivelor de stocare a 
datelor (CD-ROM, benzi magnetice şi dischete). Dacă datele sunt accesibile pe o reţea de calculatoare, 
atunci apare un grad de incertitudine cu privire la cine are acces la software şi la fişierele de date. 
Conectarea sistemelor de calculatoare la reţeaua globală Internet măreşte substanţial riscul de acces 
neautorizat de la distanţă şi de atacuri cu virusi sau alte forme de alterare a informaţiei sau de distrugere 
a unor sisteme informatice. Protejarea reţelelor conectate la Internet poate fi dificil de realizat şi necesita 
controale de nivel înalt, specializate. 


Unele sisteme de operare asigură controale ale accesului care limitează capacitatea utilizatorilor de la 
distanță să vadă, să modifice, să şteargă sau să creeze date. Controalele de acces ale sistemului de 
operare pot fi mărite prin controale suplimentare de identificare şi autorizare în cadrul fiecărei tranzacţii. În 
ambele cazuri, eficienţa controalelor de acces depinde de proceduri de identificare şi autentificare şi de o 
bună administrare a sistemelor de securitate. 


Procesarea tranzacţiilor care are loc în interiorul calculatorului este invizibilă pentru auditor. Auditorii pot 
vedea ceea ce intră şi ceea ce iese, dar au puţine informaţii cu privire la ceea ce se întâmplă pe parcurs. 
Această slăbiciune poate fi exploatată de programe neautorizate ascunse în programele autorizate. 
Amenințarea modificărilor neautorizate poate fi redusă prin adoptarea de proceduri adecvate de control al 
modificărilor, inclusiv controale eficiente de acces, activarea şi revizuirea jurnalelor de operaţii, precum şi 
o separare eficientă a sarcinilor între actorii implicaţi în sistem. 


În cazul tranzacţiilor electronice, în care parcursul auditului se reconstituie din înregistrări stocate pe un 
calculator, auditorul trebuie să se asigure că datele privind tranzacţiile sunt păstrate un timp suficient şi că 
au fost protejate fata de modificări neautorizate. Capacitatea limitată de stocare a unor calculatoare 
poate restricționa cantitatea de date istorice aferente tranzacţiilor care trebuie păstrate. În aceste cazuri, 
auditorul trebuie să impună arhivarea regulată a evidenţelor contabile şi acestea să fie păstrate într-un 
mediu sigur. Auditorul poate, de asemenea, să analizeze impactul posibil al regulilor de arhivare a datelor 
clientului atunci când planifică auditul. 


Calculatoarele în reţea au capacitatea de a stoca aplicaţii financiare şi fişiere de date pe orice dispozitive 
de stocare din reţea. Auditorul se poate afla în faţa unui sistem care rulează o aplicaţie financiară pe un 
calculator şi stochează fişierele cu tranzacţii procesate pe un calculator din altă sală, din altă clădire sau 
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chiar din altă tara. Procesarea datelor distribuite complică evaluarea de către auditor a controalelor de 
acces fizic şi logic. Mediul de control poate fi foarte bun într-un anumit loc, dar foarte slab în alt loc, iar 
eterogenitatea mediului informatic creşte riscul de audit. 


Principiile referitoare la probele de audit nu se schimbă datorită faptului că auditul se realizează într-un 
mediu informatic. Inregistrările din calculator furnizează auditorului o asigurare de audit. Auditorul poate, 
de asemenea, să genereze probe de audit utilizând tehnicile de audit asistat de calculator. 


Din studiul literaturii de specialitate, rezultă că sunt puţine precedente care să ilustreze admisibilitatea 
înregistrărilor din calculator la o instanță de judecată. În cazurile în care probele informatice au fost 
depuse în acţiuni judecătoreşti, instanţele au luat în considerare o expertiză cu privire la eficienţa mediului 
de control IT, înainte de a evalua fiabilitatea datelor informatice. 


Auditorul va avea in vedere faptul că tranzacţiile sau imaginile de documente provenind de la calculator 
pot să nu fie admisibile ca probe în justiţie dacă nu se poate demonstra că există controale destul de 
puternice care să înlăture dubiul rezonabil privind autenticitatea şi integritatea datelor conţinute în sistem. 
În ceea ce priveşte tranzacţiile electronice, aceste controale sunt deosebit de complexe. 


Evaluarea sistemelor IT cuprinde trei parti: 


A — Colectarea informaţiilor de fond privind sistemele IT ale entității auditate impun auditorului 
sa culeagă informaţii de fond privind sistemele IT hardware şi software ale clientului. Informaţii 
privind dimensiunea, tipul şi complexitatea tehnică a sistemelor informatice permit auditorilor să 
evalueze dacă este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identifica 
sistemele financiare în curs de dezvoltare, care necesită în continuare implicarea auditului. 
Colectarea informaţiilor de fond privind sistemele IT ale entității auditate trebuie să fie finalizată 
înainte ca auditorul să realizeze o evaluare a mediului de control IT sau a procedurilor de control 
ale aplicaţiei. 


B - Evaluarea mediului de control IT şi evaluarea riscului entității este utilizată pentru a 
evalua controalele şi procedurile care operează în cadrul mediului de control IT. Punctele slabe 
identificate în mediul de control IT pot submina eficacitatea procedurilor de control în cadrul 
fiecărei aplicaţii financiare. 


C — Evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile: auditorul trebuie 
să utilizeze evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile pentru a examina 
procedurile de control, sistemele de control intern şi riscurile de audit în cadrul fiecărei aplicaţii 
financiare. 


4.3.1 Informaţii de fond privind sistemele IT / IS ale entității auditate 


Prima parte a evaluării sistemelor informatice se referă la colectarea informaţiilor de fond privind sistemele 
IT ale entității auditate. Această etapa va fi finalizată înainte de evaluarea detaliată a controalelor IT, 
informaţiile colectate fiind utilizate de auditorul care va realiza analiza mediului de control IT şi a 
procedurilor de control ale aplicaţiei. 


Pe baza acestei analize, auditorul obţine o înţelegere preliminară a situaţiei cu care va fi confruntat pe 
parcursul evaluării IT. De asemenea, sunt furnizate indicaţii cu privire la documentatiile tehnice care 
trebuie consultate înainte de vizitarea entității auditate, de exemplu documentatii privind sistemele de 
operare şi aplicaţiile de contabilitate. 
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În funcţie de concluziile acestei etape, referitoare la complexitatea sistemului care face obiectul auditului, 
auditorul poate să stabilească dacă este oportun sau nu să implice specialişti în audit IT în echipa de 
audit. Factorii care vor afecta această decizie includ: 


abilităţile şi experienţa IT proprie a auditorului — auditorii nu trebuie să realizeze evaluări IT 
dacă consideră că nu au abilităţile necesare sau experienţa necesară; 


dimensiunea (volumul) operaţiilor clientului — operaţiile informatice de volume mari tind sa fie 
mai complexe atât în ceea ce priveşte sistemele propriu-zise, cât şi din punctul de vedere al 
structurilor organizatorice; 


complexitatea tehnică a echipamentului IT şi a reţelei — sistemele mai complexe, care incor- 
porează tehnologii noi, vor necesita asistenţa specialiştilor IT pentru a identifica şi a evalua 
riscurile de audit; 


cazul în care utilizatorii sistemului dezvoltă şi utilizează aplicaţii sau au capacitatea de a 
modifica pachetele contabile standard — in general, există un risc crescut de audit în situaţia 
în care utilizatorii dezvoltă sau personalizează aplicaţiile contabile; 


antecedente de probleme IT — în cazul în care auditorii au avut în trecut probleme cu siste- 
mele IT ale clientului, de exemplu, unde există antecedente legate de erori ale utilizatorului, 
greşeli de programare, fraudă informatică sau încălcări grave ale securităţii; 


în cazul în care sistemele informatice sau tranzacţiile pe care le procesează furnizează 
informaţii sensibile; 


sisteme în curs de dezvoltare — auditorul poate fi solicitat să formuleze puncte de vedere cu 
privire la specificaţiile şi planurile de implementare ale noilor sisteme financiare. 


În această etapă sunt furnizate de asemenea detalii administrative, precum contractele personalului din 
cadrul departamentelor financiar-contabil şi IT ale entității auditate. 


4.3.2 Controale IT generale 


Controalele IT generale se referă la infrastructura IT a entității auditate, la politicile IT aferente, la 
procedurile şi practicile de lucru. Acestea trebuie să se concentreze, din punctul de vedere al auditorului, 
pe examinarea departamentului IT sau a compartimentului cu atribuţii similare şi nu sunt specifice 
pachetelor de programe sau aplicaţiilor. 


Categoriile principale de controale generale sunt: 


Organizare şi management (politici IT şi standarde); 

Separarea sarcinilor (atribuţiilor); 

Controale fizice (al accesului şi de mediu); 

Controale ale accesului logic; 

Dezvoltarea sistemului şi managementul schimbării; 

Controale privind planificarea continuității sistemului şi recuperarea în caz de dezastru; 


Controale privind personalul IT (inclusiv programatori, analişti de sistem şi personal de 
operare a calculatoarelor); 


Controale privind disponibilitatea configuraţiilor hardware/software; 
Controale privind operarea sistemului. 
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În cadrul evaluării controalelor de nivel înalt, adoptate de management pentru a se asigura că sistemele 
informatice funcţionează corect şi satisfac obiectivele afacerii, auditorul poate determina dacă activităţile 
IT sunt controlate adecvat iar controalele impuse de entitatea auditată sunt suficiente. 

În cadrul evaluării este necesară examinarea următoarelor aspecte: 


+  Detectarea riscurilor asociate controalelor de management neadecvate; 

e Structura organizaţională IT; 

+ Strategia IT şi implicarea managementului de vârf; 

+ Politici de personal şi de instruire; 

+ Documentaţie şi politici de documentare (politici de păstrare a documentelor); 
+ Politici de externalizare; 

+ Implicarea auditului intern; 

e Politici de securitate IT; 

+  Conformitatea cu reglementările în vigoare; 

+ Separarea atribuţiilor. 


Politicile IT de nivel înalt, procedurile şi standardele sunt foarte importante în stabilirea unui cadru de 
control intern adecvat. Auditorul trebuie să fie capabil să identifice componentele controlului intern, 
aferente mediului informatizat, fiecare având obiective diferite: 


+ Controalele de aplicaţie; 


+ Controale operaţionale: funcţii şi activităţi care asigură că activităţile operaţionale contribuie 
la obiectivele afacerii; 


+ Controale administrative: asigură eficiența şi conformitatea cu politicile de management, 
inclusiv controalele operaţionale. 


Obiectivele de control aferente mediului informatizat se axează pe: evaluarea calităţii managementului, 
securitatea fizică şi controalele de mediu, securitatea informaţiei şi a sistemului IT, continuitatea siste- 
mului, managementul schimbării şi al dezvoltării sistemului, funcţionalitatea aplicaţiilor, calitatea auditului 
intern cu privire la sistemul IT. 


Controalele IT generale includ: politici, structuri organizaționale, practici, reguli şi proceduri, proiectate 
pentru a furniza o asigurare rezonabilă că obiectivele afacerii vor fi atinse şi evenimentele neprevăzute 
vor fi prevenite sau detectate şi corectate. 


Există unele considerente speciale care trebuie avute în vedere atunci când se realizează evaluarea 
controalelor IT: 


+ examinarea iniţială a sistemelor IT ale clientului se realizează pe zone contabile diferite, 
tranzacţiile procesate de o aplicaţie putând parcurge diverse fluxuri de prelucrare în 
cadrul sistemului IT, fiecare dintre acestea fiind supusă unor riscuri de audit diferite. 

e importanța sistemelor informatice în raport cu producerea situaţiilor financiare şi cu 
contribuţia la obiectivele afacerii. 

e aplicabilitatea şi oportunitatea auditului bazat pe/asistat de calculator. Aceasta va permite 
identificarea procedurilor de control ale aplicaţiei şi o evaluare iniţială a oportunității lor. 

e relaţia controalelor IT cu mediul general de control. Se va avea în vedere ca existenţa 
controalelor manuale, care diminuează punctele slabe ale sistemului IT, să fie luată inte- 
gral în considerare. 
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Evaluarea mediului de control IT 


Evaluarea controalelor IT generale vizează identificarea punctelor tari, a punctelor slabe şi a riscurilor în 
cadrul mediului general de control IT. Riscurile identificate în mediul general de control IT pot submina 
eficienţa controalelor în aplicaţiile care se bazează pe acestea şi deci pot fi descrise ca riscuri la nivelul 
entității. Evaluarea IT va fi utilizată de auditor pentru a identifica extinderea şi natura riscurilor generale de 
audit IT asociate cu utilizarea de către client a sistemelor informatice în domeniul financiar-contabil. 


Evaluarea începe cu întrebări privind cadrul procedural implementat de entitatea auditată. Aceasta 
permite auditorului să examineze oportunitatea strategiei IT, a managementului, auditului intern şi 
politicilor de securitate ale clientului. Răspunsurile la aceste întrebări în faza iniţială vor da auditorului o 
vedere preliminară rezonabilă asupra mediului de control IT. Experienţa a arătat că entităţile cu reguli IT 
puţine sau necorespunzătoare nu sunt în măsură să aibă un mediu de control intern adecvat. 


Analiza include, de asemenea, o evaluare a controalelor generale în cadrul departamentului IT, referitoare 
la configuraţia hardware, software şi de comunicaţii, precum şi la resursele umane care au atribuţii în 
domeniul IT: controlul privind accesul fizic, controlul privind accesul logic, controlul operational, 
procedurile de management al schimbărilor, planificarea recuperării după dezastru, utilizarea de prestatori 
externi de servicii IT, controlul asupra aplicaţiilor dezvoltate şi rulate de utilizatorii înşişi, separarea 
sarcinilor. 


Punctele slabe identificate în mediul general de control IT vor influenţa eficacitatea tuturor controalelor din 
cadrul aplicaţiilor care rulează pe configuraţia respectivă. De exemplu, auditorul acordă puţină încredere 
comenzilor de intrare pentru o tranzacţie rulată de aplicaţie chiar în situaţia în care baza de date suport a 
fost neprotejată fata de modificările neautorizate. 


Odată finalizată, analiza va permite auditorului să facă o evaluare a riscurilor în cadrul mediului general 
de control IT al clientului. În general, pentru o entitate cu un mediu de control IT insuficient, evaluarea 
riscurilor IT va conduce in mod normal la o concluzie de risc înalt de audit. Dacă mediul general de 
control IT este evaluat ca insuficient, poate fi încă posibil să se acorde o oarecare încredere controalelor 
de compensare sau controalelor foarte puternice în cadrul aplicaţiilor. Este de asemenea posibil ca o 
aplicaţie financiară să aibă controale foarte slabe cu toate că mediul de control IT suport are controale 
puternice. 


4.3.3 Evaluarea aplicaţiei şi evaluarea riscurilor 


Controalele de aplicaţie 


Aplicațiile reprezintă unul sau mai multe programe de calculator care realizează o funcţionalitate orientată 
către un scop precizat. Aplicațiile pot fi dezvoltate special pentru un client, respectiv sisteme la comandă, 
sau pot fi cumpărate sub formă de pachete / soluţii software de la furnizorii externi. 


Cele mai răspândite pachete de aplicaţii întâlnite de auditorii financiari sunt: pachete integrate de 
contabilitate, sisteme state de plată / personal / pensii, registre de active fixe, sisteme de management al 
împrumuturilor nerambursabile. 


Toate aplicaţiile financiare trebuie să conţină controale proprii care să asigure integritatea, disponibilitatea 
si confidentialitatea, atât a datelor tranzacţiei, cât şi a datelor permanente. În realitate, sistemele nu contin 
toate controalele posibile pentru fiecare componentă. Entitatea trebuie să evalueze riscurile pentru fiecare 
aplicaţie şi să aibă instalate controale adecvate, eficiente din punct de vedere al costurilor pentru a 
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut în vedere când se formulează 
recomandările auditului. 


Pag. 150 din 214 


Controalele de aplicaţie sunt particulare pentru o aplicaţie şi pot avea un impact direct asupra prelucrării 
tranzacţiilor individuale. 


Ele se referă, în general, la acele controale incluse în aplicaţie pentru a asigura că numai tranzacţiile 
valide sunt prelucrate şi înregistrate complet şi corect în fişierele aplicaţiei, precum şi la controalele 
manuale care operează în corelaţie cu aplicaţia. 


O mare parte a controalelor de aplicaţii sunt versiuni automatizate ale controalelor manuale. De exemplu, 
autorizarea prin intermediul calculatorului de către supervizor este similară cu utilizarea semnăturii pe 
documente tipărite. 


Există şi controale de aplicaţie manuale, cum ar fi: analiza formatelor rapoartelor de ieşire, inventarierea 
situaţiilor de ieşire etc.. 


Controalele de aplicaţie sunt proceduri specifice de control asupra aplicaţiilor, care furnizează asigurarea 
că toate tranzacţiile sunt autorizate şi înregistrate, prelucrate complet, corect şi la termenul stabilit. 
Controalele de aplicaţie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator) 
şi din proceduri automate sau controale efectuate de produse software. 


Proprietarii aplicaţiei, administratorii şi utilizatorii aplicaţiei 


În special în cazul aplicaţiilor financia re există trei tipuri de utilizatori: proprietarii aplicaţiei, administratorii 
şi utilizatorii aplicaţiei care îndeplinesc următoarele sarcini: 


+ Proprietarii aplicaţiilor sunt în mod normal coordonatorii administrativi ai departamentului in 
care funcţionează aplicaţia şi au responsabilitatea privind contribuţia strategică a sistemului de a 
satisface obiectivele afacerii. Proprietarii aplicaţiei fac parte din managementul entității şi asigură, 
de asemenea, funcţionarea sistemului în concordanţă cu cerinţele şi operarea acestuia de către 
personalul desemnat 


+ Administratorul aplicaţiei are următoarele sarcini tipice: menţine lista utilizatorilor autorizaţi ai 
aplicaţiei, adaugă sau şterge utilizatori din profilele de securitate a aplicaţiei, asigură că 
departamentul IT a salvat datele în concordanţă cu politicile de back-up, rezolvă cerinţe ale 
utilizatorilor aplicaţiei, identifică, monitorizează şi raportează proprietarului aplicaţiei sau 
departamentului IT problemele semnificative care apar, deţine şi distribuie documentaţia 
aplicaţiei, menţine legătura cu departamentul IT, cu alţi administratori de aplicaţii sau cu furnizori 
de software. În cazul aplicaţiilor financiar-contabile, administratorul nu trebuie să facă parte din 
acest departament, decât numai dacă nu are cunoştinţe despre procedurile manuale specifice 
domeniului, având în vedere principiul separării atribuţiilor. 


+ Utilizatorii aplicaţiei asigură operarea zilnică a aplicaţiei având acces numai la acele resurse ale 
sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitată, de asemenea, la 
funcţiile necesare realizării sarcinilor proprii. 


Încrederea în controalele de aplicaţie 


În etapa de studiu preliminar, auditorul trebuie să obţină o înţelegere suficientă a sistemului pentru a 
determina dacă sistemul de control intern este de încredere şi furnizează informaţii corecte despre 
acurateţea înregistrărilor. În cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să 
testeze controalele pentru a evalua riscul asupra obiectivelor auditului. 

În acest scop auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi bazate pe 
programe de test al conformităţii care conţin informaţii privind: descrierea controlului care va fi testat, 
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proba de audit estimată pentru satisfacerea condiţiilor, teste extinse (inclusiv bazate pe eşantionare), 
descrierea funcţionării eronate a controlului, câte eşecuri pot fi tolerate. Probele de audit se colectează 
prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea şi eşantionarea, cu tehnici de 
auditare asistată de calculator. 


Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot sintetiza 
astfel: 


(a) Controalele IT nu furnizează un istoric al operării din cauza scufundării lor în corpul aplicaţiei 
şi, în consecinţă, nu furnizează probe de audit explicite. 

(b) Perioada de timp în care acţionează controalele de aplicaţie IT este limitată, acestea 
acţionând pe o durată foarte scurtă a ciclului de viaţă al tranzacţiei (de exemplu, pe durata 
introducerii datelor). 

(c) Rezervele auditorilor fata de controalele de aplicaţie IT, datorate eventualitatii ca acestea sa 
fie alterate de către persoane interesate în inducerea în eroare a auditorului. 

(d) Rezervele auditorilor faţă de controlul preventiv asigurat, decurgând din natura controalelor IT, 
care nu prezintă garanţii privind funcţionarea corectă. 


Relaţia între controalele generale şi controalele de aplicaţie 


O modalitate de a privi relaţia dintre controalele generale şi cele de aplicaţie este aceea de a aloca 
adecvat controalele generale pentru a proteja aplicaţiile şi bazele de date şi pentru a asigura resursele 
necesare funcţionării continue. 


Cele mai uzuale controale de aplicaţie 


În cazul unei aplicaţii financiar-contabile sistemul de controale are următoarele nivele: 


+ Examinarea situaţiilor financiare pentru a determina dacă reflectă corect operaţiile efectuate 
asupra tranzacţiilor: înregistrarea corectă în conturi a unor tranzacţii de test, reflectarea 
acestor tranzacţii în situaţiile contabile, respectarea formatelor cerute de lege pentru situaţiile 
contabile etc. 


+ Controale ale ieşirilor, care au ca scop verificarea că fişierele temporare generate pentru 
listare (in spooler) înaintea transmiterii către imprimantă pot fi alterate, în lipsa unei protectii 
adecvate, înainte de a fi listate. 


+ Controale ale prelucrărilor, care sunt implementate pentru verificarea prelucrării corecte a 
ratelor de schimb, a comisioanelor, a aplicării unor cote de regie, a utilizării unor tarife etc.. 


+ Controale ale intrărilor, care au ca scop verificarea că documentele contabile se referă la 
perioada contabilă aferentă, că se utilizează corect planul de conturi, că aplicaţia permite 
efectuarea automata a egalitatilor contabile etc. 


+ Prevenirea accesului neautorizat în sistem 


+ Asigurarea că pe calculatoare este instalată versiunea corectă a programului de contabilitate 
şi nu versiuni netestate care pot conţine erori de programare. 


+ Controale privind sistemul de operare, care asigură verificarea că accesul la aplicaţia 
financiar-contabilă este controlat şi autorizat pentru utilizatorii care o operează. 


+ Controale ale accesului în reţea, care asigură că utilizatorii neautorizati nu pot avea acces în 
sistemele conectate la reţea. 


+  Auditarea sistemului de securitate al sistemelor şi al conexiunilor la Internet, care verifică 
existenţa şi atribuţiile ofițerului de securitate al sistemelor, precum şi sistemul de controale 
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specifice, în scopul identificării riscurilor şi al adoptării unor măsuri de reducere a acestora la 
un nivel acceptabil. 


+ Selectia şi instruirea personalului, care furnizează asigurarea că procedurile de selecţie şi de 
instruire a personalului reduc riscul erorilor umane. 


+ Controalele fizice şi de mediu, care asigură protejarea fizică a sistemelor de calcul. 
+ Politicile de management şi standardele; acestea se referă la toate categoriile de controale. 


Cele mai uzuale evaluări ale controalelor de aplicaţie se referă la următoarele aspecte: 


= Existența procedurilor de generare automata de către aplicaţie a situaţiilor de ieşire; 

= Existența funcţiei de export al rapoartelor în format electronic, în cadrul sistemului; 

=  Validitatea şi consistenţa datelor din baza de date a aplicaţiei; 

= Existenţa discontinuitatilor şi a duplicatelor; 

= Existența procedurii de păstrare a datelor pe suport tehnic pe o perioadă prevăzută de lege; 

= Asigurarea posibilităţii în orice moment, de a reintegra în sistem datele arhivate; 

= Procedura de restaurare folosită; 

= Existenţa procedurii de reîmprospătare periodică a datelor arhivate; 

= Existența interdictiei de modificare, inserare sau ştergere a datelor în condiţii precizate (de 
exemplu, pentru o aplicaţie financiar-contabilă, interdicţia se poate referi la ştergerea datelor 
contabile pentru o perioadă închisă); 

= Existența şi completitudinea documentaţiei produsului informatic; 

= Contractul cu furnizorul aplicaţiei din punctul de vedere al clauzelor privind întreţinerea si 
adaptarea produsului informatic; 

= Organizarea gestiunii versiunilor, modificărilor, corecturilor şi schimbărilor de sistem 
informatic, produse program şi sistem de calcul; 

«  Reconcilierile făcute în urma migrării datelor, ca urmare a schimbării sistemului de calcul sau 
a modului de prelucrare a datelor; 

= Alte controale decurgând din specificul aplicaţiei. 


O categorie specială de controale IT se referă la conformitatea sistemului informatic cu cerințele impuse 
de cadrul legislativ şi de reglementare. 
Cerinţele legislative şi de reglementare variază de la o ţară la alta. Acestea includ: 


+ Reglementări financiare şi bancare; 

+ Legislația privind protecţia datelor private şi legislaţia privind protecţia datelor personale; 
e Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii informatice; 
+ Legile cu privire la proprietatea intelectuală. 


Testarea aplicaţiei financiar-contabile 


În ceea ce priveşte determinarea volumului de teste necesare pentru obţinerea asigurării privind 
funcţionarea controalelor, auditorul îşi bazează decizia pe o combinaţie între raţionamentul profesional 
şi o modelare statistică pe care o poate opera în acest scop. Dacă auditorul îşi propune să planifice ca 
testele de control să se efectueze pe un număr mare de tranzacţii, atunci va aplica metoda eşantionării 
datelor şi va stabili dimensiunea eşantionului. 


În ceea ce priveşte controlul asupra informaţiilor de intrare, ieşire sau memorate în baza de date, pentru o 
aplicaţie financiar-contabilă verificările uzuale privind satisfacerea cerințelor legislative sunt: 
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+  Conformitatea conturilor cu Planul de conturi; 

+ Denumirea în limba română a informaţiilor conţinute în documentele de intrare şi în situaţiile de 
ieşire; 

e  Interdicţia deschiderii a două conturi cu acelaşi număr; 

e interdicția modificării numărului de cont în cazul în care au fost înregistrate date în acel cont; 

e — Interdictia suprimării unui cont în cursul exerciţiului curent sau aferent exerciţiului precedent, daca 
acesta conţine înregistrări sau sold; 

+ Respectarea formatului prevăzut de lege pentru documentele şi situaţiile generate de aplicaţia 
contabilă; 

+ Acuratetea balanței sintetice, pornind de la balanţa analitică; generarea balanței pentru orice luna 
calendaristică; 

+ Reflectarea corectă a operaţiunilor în baza de date, în documente şi în situaţii de ieşire; 

e Existenţa şi corectitudinea situaţiilor prevăzute de lege ca fiind obligatorii; 

+ Alte controale decurgând din specificul aplicaţiei. 


Analiza riscului într-un mediu informatizat 


Mediul informatizat introduce riscuri noi, pe lângă alte categorii de riscuri cu care se confruntă organizaţia. 
În vederea asigurării protecţiei informaţiilor şi sistemelor IT este necesară dezvoltarea unui flux continuu 
activităţi privind identificarea, analiza, evaluarea şi gestionarea riscurilor specifice. 

Riscurile generate de funcţionarea sistemului informatic pot fi puse în evidenţă prin analiza unor factori cu 
impact în desfăşurarea activităţii entității auditate, respectiv: dependenţa de sistemul informatic, resursele 
şi cunoştinţele în domeniul tehnologiei informaţiei, încrederea în sistemul informatic, schimbări ale 
sistemului informatic, externalizarea activităţilor de tehnologia informaţiei, securitatea informaţiei, 
respectarea legislaţiei în vigoare. 


Erorile şi omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate 
de acestea, entitatea trebuie să implementeze controale şi proceduri care să contribuie la diminuarea / 
eliminarea efectelor generate de ignorarea unor aspecte care determină modul de utilizare a angajaţilor, 
calitatea acestora, motivarea în activitatea desfăşurată, fluctuatia personalului, structura conducerii, 
volumul de muncă. 


În cele mai multe cazuri entitatea nu deţine o soluţie integrată a sistemului informatic, acesta fiind 
constituit din implementări de aplicaţii insularizate, dedicate unor probleme strict focalizate (aplicaţia 
financiar-contabilă, aplicaţii dedicate activităţii de bază a entității etc.). Acest tip de arhitectură prezintă 
dezavantaje la nivelul utilizării, precum şi o serie de alte impedimente cum ar fi cele legate de dificultatea 
sau imposibilitatea asigurării interoperabilitatii aplicaţiilor sau de multiplicarea informaţiilor. La aceasta se 
adaugă şi faptul că tranzacţiile sunt procesate în cadrul unor aplicaţii informatice distincte iar informaţiile 
introduse în sistem sunt validate într-o manieră eterogenă: proceduri automate combinate cu proceduri 
manuale, pentru a se asigura detectarea şi corectarea erorilor de intrare, precum şi detectarea 
inconsistentei sau a redundantei datelor. Lipsa unei soluţii integrate se reflectă, de asemenea, în 
existenţa unor baze de date diverse, unele aparţinând unor platforme hardware/software învechite, 
interfeţe utilizator diferite şi uneori neadecvate, facilităţi de comunicaţie reduse şi probleme de securitate 
cu riscuri asociate. 

Gradul ridicat de fragmentare a sistemului informatic implică acţiuni frecvente ale utilizatorului în procesul 
de prelucrare şi atrage efecte negative în ceea ce priveşte respectarea fluxului documentelor, ceea ce 
creşte foarte mult riscul de eroare. 


În funcţie de soluţia arhitecturală implementată şi de estimările iniţiale privind dimensiunea bazei de date 
şi complexitatea prelucrărilor, un sistem poate "rezista" sau nu la creşteri semnificative ale volumului de 
tranzacţii care pot rezulta din schimbări majore în activitatea entității. Estimarea riscului ca, în viitorul 
apropiat, sistemul informatic să nu poată suporta creşterea volumului de tranzacţii implică decizii 


Pag. 154 din 214 


importante la nivelul managementului, în sensul reproiectării sistemului, şi, implicit, privind alocarea unui 
buget corespunzător. 


Schimbările configuratiilor de sisteme trebuie să fie autorizate, testate, documentate, controlate. 
Intr-un mediu informatizat, amploarea riscurilor capătă o altă dimensiune, natura riscurilor fiind influenţată 
de o serie de factori specifici utilizării tehnologiei informaţiei: 


a) Densitatea informaţiei este mult mai mare decât în sistemele clasice, bazate pe hârtie. 

b) Absența documentelor de intrare — datele pot fi introduse în sistem fara a avea la bază documente 
justificative — este cazul tranzacţiilor din sistemele on-line. 

c) Lipsa unor “urme” vizibile ale tranzacţiilor — Desi în practica prelucrării manuale orice tranzacţie poate fi 
urmărită plecând de la documentul primar, apoi în registrele contabile, conturi — în prelucrarea automată 
traseul unei tranzacţii poate exista o perioadă limitată, într-un format electronic. 

d) Lipsa unor ieşiri vizibile — anumite tranzacţii sau rezultate, în special când acestea reprezintă detalii, se 
pot regăsi memorate doar în fişierele aplicaţiei (nu şi într-o formă tipărită). 

e) Transparenţa documentelor privind desfăşurarea unor operaţiuni. Dischetele, discurile optice şi alte 
suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaţii, însumând zeci de 
mii de pagini de hârtie, pot fi subtilizate mult mai discret generând astfel fraude sau cel putin afectând 
confidentialitatea acestor informaţii. 

f) Autorizarea tranzacţiilor. Într-un mediu informatizat se poate include şi capacitatea calculatorului de a 
iniţia şi executa automat unele tranzacţii; altfel spus, este vorba de modul de proiectare a aplicaţiei 
informatice care poate avea încorporate anumite autorizări implicite şi funcţii de generare automată. 

9) Procesarea uniformă a tranzacţiilor. O aplicaţie informatică procesează în mod uniform tranzacţii 
similare, pe baza aceloraşi instrucţiuni program. În felul acesta, erorile de redactare a documentelor 
asociate unei procesări manuale sunt în mod virtual eliminate. În schimb, erorile de programare pot 
conduce la procesarea incorectă a tranzacţiilor, astfel încât auditorii îşi vor concentra atenţia asupra 
acuratetei şi consistenţei ieşirilor. 

h) Accesul neautorizat la date şi fişiere se poate efectua cu o mai mare uşurinţă, ceea ce implică un mare 
potenţial de fraudă şi eroare. 

i) Remanenta suporturilor de memorare a datelor, după ce au fost şterse, poate constitui o cale sigură ca 
persoane interesate, neautorizate să intre în posesia unor informaţii de valoare. 

j) Agregarea datelor. Noile sisteme de prelucrare automată a datelor, precum sunt cele de asistare a 
deciziei, au condus la valorificarea unor informaţii importante ale entității, generând prognoze şi strategii 
într-un anumit domeniu. Astfel, informaţiile capătă valenţe suplimentare. 


Evoluţia tehnologiei informaţiei a cunoscut în ultimii ani un ritm accelerat, dar nu acelaşi lucru se poate 
spune despre progresele înregistrate în domeniul securităţii datelor. 

Integrarea puternică a sistemelor apare ca o consecinţă a îmbunătăţirii formelor de comunicaţie şi a 
proliferării reţelelor de calculatoare. Aplicatiile de comerţ electronic sunt doar un exemplu in acest sens, 
dar se poate afirma că această evoluţie a deschis şi mai mult apetitul “specialiştilor” în ceea ce priveşte 
frauda informaţională. 


Lipsa urmelor eventualelor atacuri criminale constituie un alt element îngrijorător al noului mediu de lucru; 
în acest sens modificarea datelor, adăugarea sau chiar ştergerea lor au devenit operaţii mult mai uşor de 
realizat, dar, în acelaşi timp, destul de greu de depistat. 


Obiectivul unei analize a riscurilor informaţionale (riscuri IT) este de a identifica modalităţile prin care 
datele şi, implicit, sistemul informatic care le conţine, sunt expuse la risc. Elementele prezentate în 
paragraful anterior conduc la ideea că mediul informatizat generează noi riscuri şi că orice organizaţie, în 
vederea asigurării unei protectii eficiente a informaţiilor, este necesar să dezvolte un proces complex de 
studiu şi analiză a riscurilor. 
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Riscul implicat de utilizarea tehnologiei informaţiei se manifestă prin intermediul componentelor proprii ale 
acestei tehnologii: ameninţări, vulnerabilitati şi impact. Amenintarile exploatează vulnerabilitatile unui 
sistem cauzând impactul şi, în esenţă, combinaţia celor trei elemente determină mărimea riscului. Riscul 
la nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeauna, managementul organizaţiei fiind 
responsabil de reducerea acestuia la un nivel acceptabil. 


Anomalii frecvente în operarea sistemului 


Cele mai frecvente efecte ale operarii necorespunzatoare a sistemului pot avea ca sursă disfunctionalitati 
la nivelul infrastructurii IT sau pot fi generate de personalul care gestionează sistemul sau de către terţi, în 
cazul serviciilor externalizate. 


= Aplicațiile nu se execută corect datorită operării greşite a aplicaţiilor sau utilizării unor versiuni 
incorecte, precum şi datorită unor parametri de configurare incorecti introduşi de personalul de 
operare (de exemplu, ceasul sistemului şi data setate incorect pot genera erori în calculul 
dobânzilor, al penalitatilor, al salariilor etc.). 


= Pierderea sau alterarea aplicaţiilor financiare sau a fişierelor de date poate rezulta dintr-o utilizare 
greşită sau neautorizată a unor programe utilitare. 


= Personalul IT nu ştie să gestioneze rezolvarea sau „escaladarea” problemelor sau raportarea 
erorilor, iar încercarea de a le rezolva pe cont propriu poate provoca pierderi şi mai mari; 


=  Întârzieri şi întreruperi în prelucrare din cauza alocarii unor priorităţi greşite în programarea 
sarcinilor; 


= Lipsa salvărilor şi a planificării reacției la incidentele probabile creşte riscul de pierdere a capacităţii 
de a continua prelucrarea în urma unui dezastru; 


= Lipsa capacităţii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzacţiile din 
cauza supraîncărcării; 


= Timpul mare alcăderilor de sistem până la remedierea erorii; 


= Probleme ale utilizatorilor nerezolvate datorită funcţionării defectuoase a facilităţi de asistenţă 
tehnică (Helpdesk). 


Sisteme în curs de dezvoltare 


Sistemele informatice financiar-contabile în curs de dezvoltare ale entității auditate nu sunt susceptibile să 
aibă un impact asupra auditului situaţiilor financiare curente. Însă, un sistem financiar greşit conceput sau 
implementat ar putea conduce la un audit al evidenţelor informatizate scump sau imposibil de realizat în 
anii următori. Această secţiune tratează implicarea auditorilor externi în formularea unor cerinţe pentru 
sistemele financiare care urmează să fie achiziţionate de la furnizori sau dezvoltate în cadrul entității. 


Revine entității auditate, şi în particular auditului intern, să stabilească dacă demersul de dezvoltare 
propus de auditor este susceptibil să conducă la un sistem care să satisfacă necesităţile activităţii. Nu 
este rolul auditorilor să avizeze demersul sau aspectele particulare ale acestuia. Trebuie, însă, ca 
auditorul intern să facă observaţii asupra aspectelor demersului care ar putea duce la dificultăţi în 
emiterea unei opinii asupra situaţiilor financiare şi pentru a putea evita dificultăţile de audit extern 
ulterioare. 


Auditul sistemelor financiare în curs de dezvoltare este o zonă cu caracter tehnic, complexă şi care 
comportă multe aspecte care necesită o analiză. 
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Documente şi informaţii solicitate entității auditate 


În cadrul misiunii de audit IT, în mod uzual, se solicită următoarele documente şi informaţii privind 
sistemele, proiectele şi aplicaţiile existente în cadrul entității auditate. 


a) Referitor la managementul tehnologiei informaţiei: 


907 NO? a E oar 


9. 
10. 


Structura organizațională. Fişe de post pentru persoanele implicate în proiectele informatice; 
Strategia IT şi stadiul de implementare a acesteia; 

Politici şi proceduri incluse în sistemul de control intern; 

Legislaţie şi reglementări care guvernează domeniul; 

Documente referitoare la coordonarea şi monitorizarea proiectelor IT: 

Raportări către management privind proiectele IT; 

Buget alocat pentru proiectele informatice; 

Lista furnizorilor şi copiile contractelor pentru hardware şi software (furnizare, service, mente- 
nanta etc.); 

Rapoarte de audit privind sistemul IT în ultimii 3 ani; 

Raportarea indicatorilor de performanţă. 


b) Referitor la infrastructura hardware / software şi de securitate a sistemului 


TH 
12. 


13. 


14. 
15. 
16. 
17. 


Infrastructura hardware, software şi de comunicaţie. Documentaţie de prezentare; 

Politica de securitate. Proceduri generale. Proceduri operaţionale IT (back-up, managementul 
capacităţii, managementul configuraţiilor, managementul schimbării proceselor, managementul 
schimbărilor tehnice, managementul problemelor etc.); 

Proceduri şi norme specifice, inclusiv cele legate de administrare şi securitate, în vederea 
creşterii gradului necesar de confidentialitate si a siguranţei în utilizare, în scopul bunei 
desfăşurări a procedurilor electronice şi pentru asigurarea protecţiei datelor cu caracter personal; 
Arhitectura de sistem. Categorii de servicii şi tehnologii utilizate; 

Arhitectura de reţea. Tipuri de conexiuni; 

Personalul implicat în proiecte. Număr, structură, calificare; 

Manuale, documentaţie de sistem şi orice altă documentaţie referitoare la aplicaţiile informatice. 


c) Referitor la continuitatea sistemului 


18. 
19. 


Plan de continuitate a activităţii care face obiectul proiectelor IT; 
Plan de recuperare în caz de dezastru. 


d) Referitor la dezvoltarea sistemului 


20. 
21. 
22. 


Lista aplicaţiilor şi proiectelor IT (scurtă prezentare a portofoliului de proiecte); 
Stadiul actual, grafice de implementare şi rapoarte de utilizare; 
Perspective de dezvoltare. 


e) Referitor la sistemul de monitorizare şi raportare 


23. 
24. 


Raportari ale managementului IT referitoare la proiectele informatice; 
Rapoarte de monitorizare a modului de implementare a proiectelor informatice. 
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4.4 Cadrul procedural pentru evaluarea sistemelor informatice 


În această secţiune se prezintă cadrul procedural pentru evaluarea sistemelor informatice, în general, cu 
exemplificări pentru sistemele financiar-contabile. Auditorii trebuie să recurgă la raţionamentul propriu 
pentru a stabili ce controale ar fi rezonabile, având în vedere mărimea, complexitatea şi importanţa 
sistemelor informatice financiar-contabile ale entității auditate. 


Scopurile unei evaluări a sistemelor informatice financiar-contabile sunt: 
e $a identifice configuraţiile hardware şi aplicaţiile informatice implicate în pregătirea situaţiilor 
financiare ale entității auditate; 
e să permită auditorilor să evalueze gradul de complexitate a sistemului informatic; 
e să identifice riscurile generate de mediul IT: 
e să permită auditorilor să obţină o înţelegere suficientă a sistemelor de controale informatice 
interne pentru a planifica auditul şi a dezvolta o abordare de audit eficientă. 


Structurarea cadrului procedural este prezentată în tabelul următor. 


Secţiune Procedura 


A 


Denumirea secţiunii 


Informaţii de fond privind sistemele IT ale entității auditate 


Privire generală asupra entității auditate A1 
Principalele probleme IT rezultate din activitățile anterioare de audit A2 
Dezvoltări informatice planificate A3 
Echipament informatic [hardware] şi programe informatice [software] A4 
Cerințe pentru specialiştii în auditul informatic A5 
Activitatea necesară pentru revizuirea sistemelor A6 
Contacte cheie A7 


Evaluarea mediului de control IT - Controale IT generale 


CA 


Management IT B1 
Separarea atribuţiilor B2 
Securitatea fizică şi controalele de mediu B3 
Securitatea informaţiei şi a sistemelor B4 
Continuitatea sistemelor B5 
Externalizarea serviciilor IT B6 
Managementul schimbării şi al dezvoltării de sistem B7 
Audit intern B8 


Evaluarea controalelor de aplicaţie 


Intelegerea sistemului informatic CA1 
Posibilitatea de efectuare a auditului CA2 
Utilizarea tehnicilor de audit asistat de calculator (CAAT) CA3 
Determinarea răspunderii CA 
Evaluarea documentaţiei aplicaţiei CA5 
Evaluarea securităţii aplicaţiei CA6 
Evaluarea controalelor la introducerea datelor CA7 
Evaluarea controalelor transmisiei de date CA8 
Evaluarea controalelor prelucrării CA9 
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Evaluarea controalelor datelor de ieşire CA10 
Evaluarea controalelor fişierelor cu date permanente CA11 
Evaluarea conformităţii cu legislaţia în vigoare CA12 
Efectuarea testelor de audit CA13 


4.4.1 Informaţii de fond privind sistemele IT ale entității auditate 


Scop: Scopul acestei evaluări este de a obţine informaţii privind mărimea, tipul şi complexitatea 
sistemelor financiare informatizate ale clientului. Auditorul poate apoi clasifica sistemele după 
complexitate şi aprecia dacă evaluarea IT trebuie realizată de un auditor IT specialist. 


PROCEDURA A1 - Privire generală asupra entității auditate 


Auditorul va obţine informaţii din analizele anterioare, având ca sursă rapoarte de audit, cunoştinţe 
anterioare şi fişiere curente de audit, sau pe baza unei documentări preliminare, privind natura activităţilor 
entității supuse auditului. Pentru colectarea datelor se poate folosi Macheta 1. 

De asemenea, se vor analiza următorii indicatori de bază: 


- Plăţi / cheltuieli anuale; 

-  Incasari / venituri anuale; 
- Total active; 

- Valoarea activelor IT; 

- Bugetul anual IT; 


PROCEDURA A2 - Principalele probleme IT rezultate din activităţile 
anterioare de audit 


Auditorul va obţine informaţii din analizele anterioare, având ca surse rapoarte de audit sau referiri la 
scrisori către conducere, evaluări ale sistemelor contabile, evaluări ale riscurilor şi altele. 


PROCEDURA A3 - Dezvoltări informatice planificate 


Auditorul va obţine informaţii legate de principalele proiecte de dezvoltare a sistemelor IT: când vor intra 
în exploatare, locul instalării, dacă au fost identificate probleme, ce efecte ar putea avea noile sisteme 
asupra activităţii de audit prezente şi viitoare. În situaţia în care apar probleme tehnice dificil de înţeles şi 
tratat, auditorul trebuie să aibă în vedere contactarea unui auditor IT specialist (utilizat de regulă în faza 
de specificare a sistemelor sau înainte de intrarea în funcţie a sistemelor). 


PROCEDURA A4 - Configuraţia hardware (echipamente), software 
(programe informatice) şi personalul IT 


Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 şi 4 care pot fi adaptate în funcţie de 
complexitatea şi specificul sistemului informatic, întrucât în instituţiile publice există o mare diversitate de 
configurații IT, pornind de la entităţi (de exemplu, primării) care au în dotare un singur calculator şi 
ajungând la entităţi cu sisteme complexe şi configurații mari, desfăşurate la nivel national. 


Auditorul va colecta informaţii privind: 
= Echipamentul informatic (hardware) şi de comunicaţii (topologie, cablare, protocol de comunicaţii, 
modem-uri, gateways, routere); 
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= Programe informatice (software): sistemul de operare, software de securitate, software de 
gestionare a bazelor de date, software de audit, generatoarele de rapoarte, software de 
programare şi altele; 

= Software de aplicaţie (denumire, furnizor, versiune, platformă, limbaj de programare / dezvoltare, 
număr de utilizatori, data instalării, pachet la cheie sau dezvoltat la comandă, module, prelucrare 
offline / online, utilizare EDI); 

= Informaţii privind personalul implicat în proiectele IT. 


PROCEDURA A5 - Cerinţe pentru specialiştii în auditul sistemului 
informatic 


Auditorii trebuie să decidă dacă ei înşişi au abilităţi IT şi de audit IT necesare şi suficiente pentru a realiza 
evaluarea la un standard adecvat de competenţă. Factorii luaţi în considerare în acest sens includ: 
mărimea departamentului IT care face obiectul auditului, utilizarea reţelelor de comunicaţii în cadrul 
entității auditate, procesarea de date distribuite, utilizarea de tehnologii noi, sisteme în curs de dezvoltare, 
cunoaşterea problemelor IT anterioare ale clientului şi dacă este de dorit o abordare a auditului bazată pe 
controale. 


PROCEDURA A6 - Activitatea necesară pentru evaluarea sistemelor 


Auditorul va inventaria care sunt sistemele / componentele / serviciile informatice care trebuie să fie 
evaluate în funcţie de obiectivele auditului şi va decide asupra cerințelor pentru auditul IT. 


PROCEDURA A7 - Contacte cheie 


Conducerea entității va stabili persoanele de contact din cadrul entității auditate, din domeniile financiar şi 
IT (nume, funcţie, locaţie, nr. telefon), care vor colabora cu auditorul pe parcursul misiunii de audit. 


4.4.2 Evaluarea mediului de control IT — Controale generale IT 


Scop: Identificarea naturii şi impactului riscurilor generate de utilizarea de către entitate a tehnologiei 
informaţiei asupra situaţiilor financiare ale organizaţiei, precum şi a capacităţii auditorilor de a le evalua. O 
evaluare a controalelor IT la nivelul entității este realizată prin derularea unei evaluări a mediului 
informatic în care se află aplicaţiile financiare. Punctele slabe ale mediului informatic pot afecta negativ 
integritatea şi viabilitatea tuturor aplicaţiilor informatice şi a datelor contabile prelucrate de acestea. 


Obiectivul unei evaluări a mediului de control IT este de a examina şi de a evalua riscurile, controalele şi 
procedurile care există în cadrul mediului IT al unei entităţi. O evaluare a mediului de control IT este 
focalizată pe controalele care asigură integritatea şi disponibilitatea programelor şi aplicaţiilor financiare, 
în timp ce evaluarea unei aplicaţii se concentrează pe integritatea şi disponibilitatea tranzacţiilor 
procesate de respectiva aplicaţie. 


Termenul de mediu de control IT se referă la configuraţia hardware, la programele informatice de sistem, 
la mediul de lucru. Dimensiunea unei configurații IT poate varia de la un sistem mare, amplasat într-o 
construcţie special destinată, deservit de un personal numeros, până la un simplu calculator personal 
(PC) din cadrul unui birou de contabilitate. 


Mediul de control IT trebuie să aibă controale adecvate pentru: 
e  aasigura un mediu de procesare sigur şi sistematic; 
e a proteja aplicaţiile şi fişierele de date de bază fata de acces, modificare sau ştergere 
neautorizate; 
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e a asigura că pierderea facilitatilor de calcul nu afectează capacitatea organizaţiei de a 
produce situaţii financiare care pot fi supuse auditului. 


Auditorul trebuie să determine ce controale ar fi rezonabile în cadrul fiecărei configurații de calcul. Cand 
evaluează un mediu de control IT auditorul trebuie să aibă în vedere diferiţi factori, inclusiv natura 
activităţii clientului, mărimea departamentului IT, istoricul erorilor şi încrederea acordată sistemelor 
informatice. 


Auditorul poate obţine informaţii privind mediul general IT prin interviuri şi discuţii cu personalul implicat, 
prin analize ale documentaţiei sistemului, precum şi prin legătura cu auditul intern şi observaţia directă. 


Pentru evaluarea controalelor IT generale se foloseşte Lista de verificare privind evaluarea controalelor 
generale IT. 


În secţiunile următoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice. 
PROCEDURA B1 - Managementul sistemului informatic 


Pe baza testelor efectuate asupra controalelor implementate în cadrul entității se poate aprecia daca 
utilizarea tehnologiilor informaţiei de către entitatea auditată se desfăşoară în cadrul unei structuri bine 
definite, daca este efectuată o informare operativă a conducerii legată de activitatea IT şi conducerea este 
receptivă la schimbare, dacă funcţionarea sistemului informatic este eficientă din punct de vedere al 
costurilor şi al gestionării resurselor umane, dacă monitorizarea cadrului legislativ şi a contractelor cu 
principalii furnizori se desfăşoară corespunzător. 


B.1.1 Aspectele care se iau în considerare atunci când se examinează controalele privind 
managementul şi organizarea departamentului IT al entității (responsabilitatea de ansamblu, structura 
formală, organizarea şi desfăşurarea activităţii IT, implicarea conducerii entității auditate în coordonarea 
activităților legate de funcţionarea sistemului informatic) 


Examinarea controalelor privind managementul şi organizarea departamentului IT al entității presupune 
următoarele activităţi din partea auditorului: 
e Revizuirea modului în care se regăseşte domeniul IT în structura organizaţională de ansamblu şi 
dacă unul dintre membrii conducerii are responsabilităţi IT; 


e Verificarea existenţei unei structuri organizatorice formale în care tot personalul să-şi cunoască 
rolurile şi responsabilitatile, pe baza fişelor de descriere a postului, scrise şi semnate; 


e Evaluarea formelor de implicare a conducerii entității în coordonarea activităţilor legate de 
funcţionarea sistemului informatic şi a faptului că măsurile corective sunt adecvate şi sunt aplicate 
consecvent. Se va verifica de asemenea dacă au loc întâlniri regulate cu persoanele cu atribuţii în 
implementarea, utilizarea, administrarea şi întreţinerea sistemului, dacă este stabilită o direcţie 
unitară de dezvoltare, cu precizarea clară a obiectivelor, dacă se asigură elaborarea unor linii 
directoare; 


e Evaluarea implicării conducerii în elaborarea şi implementarea unei politici formale, consistente 
privind serviciile informatice şi în comunicarea acesteia utilizatorilor; 


e Revizuirea modului în care se realizează managementul riscurilor: identificarea, planificarea şi 
managementul riscurilor implicate de implementarea şi utilizarea sistemului IT, analiza beneficiilor 
potenţiale; 

e Verificarea implicării conducerii în elaborarea strategiilor şi politicilor bazate pe o evaluare a 
riscurilor (riscuri în etapa de implementare, riscuri în etapa de furnizare a serviciilor informatice), a 
implicării conducerii instituţiei în coordonarea activităţilor IT - întâlniri regulate între conducerea 
instituţiei şi persoanele cu atribuţii în implementarea, administrarea şi întreţinerea sistemului, 
precum şi în analiza activităţilor în raport cu strategia de implementare. 
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Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea entității şi cu 
persoanele implicate în coordonarea operativă a sistemului informatic şi pe baza analizei documentelor 
privind întâlnirile organizate de conducerea entității (minute, procese verbale, adrese etc.). 


Auditorul va evalua soluţia organizatorică prin prisma criteriilor menţionate şi va colecta probe privind: 
subordonarea departamentului IT, nivelele de monitorizare a proiectului, existența unei politici de angajări, 
instruirea profesională şi evaluarea periodică a performanței personalului tehnic implicat proiect şi a 
utilizatorilor sistemului, analiza dependenței de persoanele cheie. Pentru personalul implicat în activităţi 
legate de sistemul informatic, va verifica existenţa fişelor de post semnate şi dacă acestea conțin 
atribuţiile specifice utilizării tehnologiilor informaţiei. 


B.1.2 Aspectele care se iau în considerare atunci când se examinează controalele referitoare la 
planificarea activităţilor privind utilizarea tehnologiilor informaţiei 


e Existența unui plan corespunzător şi documentat pentru coordonarea activităţilor legate de 
implementarea şi funcţionarea sistemului informatic, corelat cu strategia instituţiei; 


e Documentarea în planificarea entității a rezultatelor scontate / țintelor şi etapelor de dezvoltare şi 
implementare a proiectelor; 


e Întocmirea şi aprobarea de către conducere a unui plan strategic adecvat prin care obiectivele 
cuprinse în politică să aibă asociate acţiuni, termene şi resurse; 

e Desfăşurarea unor acţiuni legate de sistemele de achiziţie a informaţiilor electronice (colectarea 
informaţiilor şi migrarea acestora în mediul electronic); 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea entității şi cu 
persoanele implicate în coordonarea operativă a sistemului informatic şi pe baza analizei documentelor 
privind planificarea şi monitorizarea proiectelor IT. 


B.1.3 Aspectele care se iau în considerare atunci când se examinează controalele privind 
managementul costurilor 


e Elaborarea unei strategii de finanţare pentru proiectele aferente serviciilor IT, astfel încât nivelele 
de finanțare să fie consistente cu obiectivele; 


e Existența unui buget separat pentru investiţii şi cheltuieli legate de IT. Stabilirea responsabilitatilor 
privind întocmirea, aprobarea şi urmărirea bugetului; 


e Implementarea sistemelor pentru monitorizarea şi calculul cheltuielilor; 
e Efectuarea analizei activităţilor fata de Strategia IT a entității. 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în 
coordonarea operativă a sistemului informatic şi pe baza analizei documentelor privind modul de alocare 
şi gestionare a bugetului proiectului, în concordanță cu obiectivele şi strategia entității. 


În cazul auditului performanţei implementării şi utilizării sistemului informatic, analiza ponderii diferitelor 
categorii de costuri în bugetul total al proiectului, raportate la rezultatele obţinute, poate furniza informaţii 
privind eficienţa utilizării fondurilor. Urmărirea gestionării bugetului alocat proiectului se reflectă în 
evidenţele operative ale entității (procese verbale privind îndeplinirea sarcinilor furnizorilor, documente 
conţinând rezultatele unor inspecții, documente privind analize şi raportări periodice ale activităţilor şi 
stadiului proiectului, în raport cu strategia de implementare). 
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B.1.4 Aspectele care se iau în considerare atunci când se examinează controalele privind 
managementul programelor şi al proiectelor, precum şi raportarea către conducerea instituţiei (cu 
scopul de a evalua problematica şi de a întreprinde măsuri corective pentru remedierea unor deficiențe 
sau de a efectua evaluări ale efectelor utilizării sistemului în raport cu obiectivele activităţii entității) 


e Managementul portofoliilor de proiecte; 
e Managementul proiectelor este cuprinzător, riguros şi sistematic; 


e Monitorizarea activităţilor şi progresului proiectelor în raport cu planurile elaborate în acest 
domeniu; 


e Nominalizarea unui colectiv şi a unui responsabil care supraveghează desfăşurarea activităţilor in 
concordanţă cu liniile directoare; 


e Informarea personalului în legătură cu politicile, reglementările, standardele şi procedurile legate 
de IT; 


e Raportarea regulată către conducerea instituţiei a activităţilor legate de implementarea IT. 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în 
managementul proiectelor şi pe baza analizei documentelor privind modul de monitorizare şi de 
gestionare a acestora. Auditorul va constata modul în care se face raportarea către management, prin 
colectarea unor probe care decurg din analiza documentelor de raportare care oferă informaţii privind 
conținutul şi periodicitatea raportărilor, privind organizarea unor întâlniri între actorii implicaţi în proiect 
pentru semnalarea problemelor apărute şi alegerea căilor de rezolvare a problemelor semnalate. De 
asemenea, este evaluat modul în care sunt analizati şi aduşi la cunoştinţa conducerii entității, în mod 
oficial, indicatorii de performanţă ai sistemului informatic. 


B.1.5 Aspectele care se iau în considerare atunci când se examinează controalele privind calitatea 
serviciilor furnizate utilizatorilor interni (care se reflectă în succesul proiectului, un obiectiv important al 
conducerii, având efecte inclusiv în planul încrederii personalului în noile tehnologii) 
e Nivelul calităţii serviciilor furnizate utilizatorilor interni se menţionează într-un document care 
prevede clauzele referitoare la acestea - SLA (Service Level Agreement). 


Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în 
managementul proiectelor şi pe baza analizei documentelor privind clauzele referitoare la asigurarea 
calităţii pentru întreg ciclul de viaţă al proiectului (specificarea cerinţelor, dezvoltarea sistemului, 
implementarea sistemului, elaborarea şi predarea documentaţiei, instruirea personalului la toate nivelurile, 
întreţinerea sistemului, asigurarea suportului tehnic etc.), care trebuie să facă parte din contractele cu 
furnizorii. 


B.1.6 Aspectele care se iau în considerare atunci când se examinează controalele privind 
respectarea reglementărilor în domeniu şi a cerinţelor proiectului 


e Stabilirea responsabilităţi pentru asigurarea că sistemul implementat este actualizat în 
conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate conform 
clauzelor contractuale, că au fost furnizate licenţele în cadrul contractelor, că documentaţia a 
fost furnizată conform contractului. 


Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în 
managementul proiectelor şi pe baza analizei documentelor care se referă la existenţa unor politici sau 
proceduri formale prin care se atribuie responsabilitatea monitorizării mediului legislativ care poate avea 
impact asupra sistemelor informatice, precum şi a asigurării conformităţii cu clauzele contractuale privind: 
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+ Responsabilitatea asigurării că sistemul implementat este actualizat în conformitate cu 
ultima versiune furnizată; 

+ Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, 
documentaţie; 

e Livrarea şi instalarea configuraţiilor hardware / software pe baza unui grafic, conform 
clauzelor contractuale, pe etape şi la termenele stabilite; 

+ Respectarea obligaţiilor privind instruirea şi suportul tehnic, stabilite prin contract; 

+ Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenţei şi 
valabilităţii licenţelor furnizate în cadrul contractului, 

+ Asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal care poate avea 
secţiuni distincte pentru suport tehnic, specializat pe categorii relevante de probleme / 
anomalii sau pentru instruirea continuă a utilizatorilor); 

+ Existența unor proceduri scrise privind analiza şi acceptarea produselor şi serviciilor 
furnizate în cadrul contractului, precum şi recepţia cantitativă şi calitativă; 

+ Furnizarea documentaţiei tehnice conform contractului: conţinutul (lista, numărul 
manualelor, limba) şi formatul (tipărit, în format electronic, on-line); 

+ Existența specificaţiilor funcţionale, a manualelor de utilizare şi administrare pentru 
proiectele de dezvoltare software; 

+ Existenţa manualelor de utilizare pentru echipamentele livrate. 


PROCEDURA B2 - Separarea atribuţiilor 


Separarea atribuţiilor este o modalitate de a asigura că tranzacţiile sunt autorizate şi înregistrate şi că 
patrimoniul este protejat. Separarea atribuţiilor are loc atunci când o persoană efectuează o verificare 
privind activitatea altei persoane. Se previne în acest fel desfăşurarea unei activităţi, de către aceeaşi 
persoană, de la început până la sfârşit, fără implicarea altei persoane. Separarea atribuţiilor reduce riscul 
de fraudă şi constituie o formă de verificare a erorilor şi de control al calităţii. 


Separatia atribuţiilor include: 
+ separarea responsabilitatii privind controlul patrimoniului de responsabilitatea de a menţine 
înregistrările contabile pentru acesta; 
+ separarea funcţiilor în mediul informatizat. 


Separarea atribuţiilor se aplică atât mediului controalelor generale, cât şi programelor şi aplicaţiilor 
specifice. 


În mediul controalelor generale, anumite funcţii şi roluri trebuie să fie separate. De exemplu, un 
programator nu trebuie să aibă acces la mediul de producţie pentru a-şi îndeplini sarcinile. Personalul 
care face programare nu trebuie să aibă autoritatea de a transfera software nou între mediile de 
dezvoltare, testare şi producţie. Segregarea atribuţiilor între programatori şi personalul de operare reduce 
riscul ca aceştia, cu cunoştinţele de programare pe care le deţin, să poată efectua modificări neautorizate 
în programe. În multe cazuri activitatea departamentului IT se împarte în două tipuri distincte: programare 
(sisteme şi aplicaţii) şi operarea calculatoarelor. Personalul nu poate avea atribuţii care să se plaseze în 
ambele tipuri de activităţi. Personalul care face programare nu trebuie să aibă acces la fişiere şi programe 
din mediul de producție. 

Sub presiunea reducerii costurilor funcţiilor IT numărul de personal este de multe ori redus, ceea ce 
limitează separarea atribuțiilor. În cazul limitării separării atribuţiilor, auditorul trebuie să identifice 
controale compensatorii, care de obicei se plasează în sfera securităţii sistemelor sau în cea a 
reconcilierii utilizatorilor finali, pe care să le recomande entității (de ex. verificări şi inspecții regulate ale 
conducerii, utilizarea parcursurilor de audit şi a controalelor manuale). 
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B.2.1 Aspectele care se iau în considerare atunci când se examinează controalele privind 
separarea atribuţiilor (sarcinilor) 


Existenţa unei structuri organizatorice formale / cunoaşterea de către personal a modului de 
subordonare şi a limitelor de responsabilitate proprii şi ale restului de personal. Aceasta va 
face mai dificil să se efectueze acţiuni neautorizate fără a fi detectate. 


Includerea cu claritate a atribuţiilor personalului în fişa postului, în scopul reducerii riscului 
efectuării de către acesta a unor acţiuni dincolo de limitele autorizate. 


Separarea sarcinilor realizată prin intermediul sistemului informatic, prin utilizarea de profile 
de securitate individuale şi de grup, preprogramate. 


Interdictia ca personalul care are sarcini în departamentul IT să aibă sarcini şi in 
departamentul financiar-contabil sau de personal. 


Existenţa unei separări fizice şi manageriale a atribuţiilor, pentru a reduce riscul de fraudă. 
Separarea funcţiilor IT de utilizatori, pentru a reduce riscul de efectuare de către utilizatori a 
unor modificări neautorizate ale programelor sau ale datelor financiar-contabile, având în 
vedere că persoanele cu sarcini atât în domeniul financiar-contabil, cât şi în domeniul IT au 
oportunităţi mai mari de a efectua activităţi neautorizate prin intermediul aplicaţiilor 
informatice, fără a fi depistate. 


Existenţa unui cadru formal de separare a sarcinilor în cadrul departamentului IT, pentru 
următoarele categorii de activităţi: 
o Proiectarea şi programarea sistemelor; 
intretinerea sistemelor; 
Operații IT de rutină; 
Introducerea datelor; 
Securitatea sistemelor, 
Administrarea bazelor de date; 
o Managementul schimbării şi al dezvoltării sistemului informatic. 
Separarea sarcinilor de administrator de sistem de cele de control al securităţii sistemului. 


Asigurarea unei separări adecvate a sarcinilor pentru a reduce riscurile ca personalul cu 
cunoştinţe semnificative despre sistem să efectueze acţiuni neautorizate şi să înlăture urmele 
acţiunilor proprii. 

Existenţa unei separări eficiente a sarcinilor între dezvoltatorii de sisteme, personalul de 
operare a calculatoarelor şi utilizatorii finali. 


Interdictia ca programatorii să aibă acces la mediul de producţie (introducere de date, fişiere 
permanente date de ieşire, programe etc.) pentru a-şi îndeplini sarcinile. 


Interdictia ca personalul care face programare să aibă permisiunea de a transfera software 
nou între mediile de dezvoltare, testare şi producție. 


Interdictia ca personalul cu cunoştinţe de programare să aibă atribuţii de operare care sa 
permită efectuarea de modificări neautorizate în programe. 


Separarea responsabilităţi privind operarea aplicaţiei de control al patrimoniului de responsa- 
bilitatea de a menţine înregistrările contabile privind patrimoniul. 


Utilizarea separării sarcinilor ca formă de revizie, detectare a erorilor şi control al calităţii. 
Constientizarea personalului. 


0.0 0: 0-0 


Auditorul trebuie să determine prin interviu, prin observare directă şi prin analiza documentelor relevante 
(organigramă, fişa postului, decizii ale conducerii, contracte etc.) dacă personalul IT are responsabilităţi în 
departamentele utilizatorilor, dacă funcţiile IT sunt separate de funcţiile de utilizare (financiar, gestiunea 
stocurilor etc.) pentru a nu se opera schimbări neautorizate, de obicei dificil de detectat, dacă alte funcţii 
incompatibile, potrivit aspectelor menţionate mai sus, sunt separate. 
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PROCEDURA B3 - Securitatea fizică şi controalele de mediu 


Obiectivul controalelor fizice şi de mediu este de a preveni accesul neautorizat şi interferența cu serviciile 
IT în scopul diminuării riscului deteriorării accidentale sau deliberate sau a furtului echipamentelor IT şi al 
informaţiilor. Aceste controale trebuie să asigure, pe de o parte, protecţia împotriva accesului personalului 
neautorizat, iar pe de altă parte, protecţia în ceea ce priveşte deteriorarea mediului în care funcţionează 
sistemul (cauzată de foc, apă, cutremur, praf, căderi sau creşteri bruşte ale curentului electric). 


În concordanţă cu rezultatele raportate de ISACA (/nformation Systems Audit and Control Association), 
cauzele generatoare de erori produse de dezastre naturale se plasează pe locul 2 (erorile produse de 
utilizatori pe locul 1, frauda pe locul 3 şi căderile hardware pe locul 4). 


Restrictionarea accesului la sistemul de calcul se poate realiza pe baza a două tipuri de controale, 
privitoare la accesul fizic şi, respectiv, la accesul logic. 


Controale fizice: 
e Asigurarea securităţii zonei (delimitarea clară a perimetrului afectat facilitatilor IT şi informarea 
personalului în legătură cu "graniţele" acestuia); 
e Accesul în aria securizată trebuie controlat pe nivele de control, prin controale fizice explicite: chei, 
card-uri de acces, trăsături biometrice (amprentă, semnătură, voce, imagine etc.), coduri de acces 
sau implicite: atribuţii specificate în fişa postului, care necesită prezenţa în zona de operare IT. 


Controalele administrative: 


e Uniforma personalului sau utilizarea ecusoanelor; 

+ Ştergerea drepturilor de acces la plecarea persoanei din organizaţie şi informarea 
personalului care asigură paza în legătură cu acest lucru. Pentru această situaţie trebuie să 
existe proceduri de identificare a celor care pleacă şi de asigurare că accesul fizic al 
acestora în zona de operare IT nu mai este permis; 

e Identificarea vizitatorilor şi primirea acestora; 

+ Proceduri pentru evenimente neaşteptate: plecarea temporară din birou a unor salariaţi 
pentru a lua masa, sau la o solicitare expresă. Măsurile pentru aceste situaţii pot include: 
încuierea laptop-urilor în sertare sau dulapuri, blocarea tastaturii, încuierea suportilor tehnici 
care conţin date. 


Controalele specifice de mediu 


Se referă la următoarele aspecte: 

+ Prevenirea, detectarea şi stingerea incendiilor: politica de interzicere a fumatului, înlăturarea 
unor materiale inflamabile din spaţiile care găzduiesc calculatoare, utilizarea detectoarelor 
de fum şi de căldură, dotarea cu stingătoare de incendii manuale şi automate, utilizarea 
dispozitivelor de alarmă, instruirea personalului; 

+ Protecţia împotriva inundaţiilor şi a excesului de umiditate: amplasarea calculatoarelor la 
etajele superioare, dotarea cu detectoare de umiditate conectate la dispozitive de alarmă; 

+ Protecţia şi controlul surselor de alimentare: utilizarea unor dispozitive de protecţie la 
suprasarcina, surse de tensiune neintreruptibile (UPS), generatoare electrice de rezervă, 
cablare alternativă; 

+ Asigurarea condiţiilor de încălzire, ventilaţie şi aer condiţionat: asigurarea unui mediu 
ambiental controlat prin instalarea echipamentelor de aer condiţionat; 

+ Întreţinere şi curăţenie: asigurarea condiţiilor de curăţenie adecvate cerințelor acestor tipuri 
de echipamente. 
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B.3.1 Aspectele care se iau în considerare atunci când se examinează controalele privind 
controlul accesului fizic 


e Alocarea unor spaţii adecvate pentru camera serverelor; 

e Implementarea unor proceduri formale de acces în locaţiile care găzduiesc echipamente IT 
importante care să stabilească: persoanele care au acces la servere, modul în care se 
controlează accesul la servere (de exemplu, cartele de acces, chei, registre), procedura de 
alocare a cartelelor către utilizatori şi de monitorizare a respectării acesteia, cerința ca vizitatorii 
să fie însoţiţi de un reprezentant al entității; 

e Existența unor măsuri pentru a asigura că se tine o evidenţă exactă a echipamentului informatic 
şi a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta 
identificarea), pentru a preveni pierderea intenţionată sau neintentionata de echipamente si a 
datelor conţinute în acestea. 


Auditorul trebuie să determine prin interviu şi prin observare directă (inspecţie în sălile în care sunt 
amplasate echipamentele) dacă există dotările necesare pentru asigurarea controlului accesului fizic în 
zona de securitate definită. De asemenea, trebuie să verifice existenţa şi modul de implementare a 
procedurilor asociate. 


B.3.2 Aspectele care se iau în considerare atunci când se examinează controalele privind protecţia 
mediului 


e Asigurarea că în camera serverelor există dotările necesare pentru protecţia mediului: 
- sisteme de prevenire a incendiilor; 
dispozitive pentru controlul umidității; 
aer condiționat; 
dispozitive UPS; 
senzori de mişcare; 
camere de supraveghere video. 


e Amplasarea în rackuri speciale şi protejarea serverelor, protejarea elementelor active ale rețelei si 
a cablurilor de reţea, etichetarea cablurilor. 


Auditorul trebuie să determine prin interviu şi prin observare directă (inspecţie în sălile în care sunt 
amplasate echipamentele) dacă există dotările necesare pentru protecţia mediului (sisteme de prevenire 
a incendiilor, dispozitive pentru controlul umidității, aer condiţionat, dispozitive UPS, senzori de mişcare, 
camere de supraveghere video). De asemenea, trebuie să verifice existenţa şi modul de implementare a 
procedurilor asociate. 


PROCEDURA B4 - Securitatea informaţiei şi a sistemelor 


Securitatea informaţiei şi a sistemelor se realizează prin implementarea unor proceduri care să prevină 
obţinerea accesului neautorizat la date sau programe critice şi să asigurare confidentialitatea, integritatea 
şi credibilitatea în mediul în care aceste sisteme operează. 


Controalele privind securitatea informaţiei şi a sistemelor sunt următoarele: 
e Existența unei politici de securitate IT formale (distribuită tuturor utilizatorilor, cu semnătura că au 
luat cunoştinţă), existenţa unei persoane care are responsabilitatea actualizarii acestei politici, 


precum şi aplicarea măsurilor pentru a creşte conştientizarea în cadrul entității cu privire la 
securitate (cursuri, prezentări, mesaje pe e-mail). 


Pag. 167 din 214 


e Desemnarea unei persoane cu atribuţii privind administrarea securităţii, desemnarea unui 
responsabil (ofiţer) pentru securitate şi definirea în mod formal a atribuţiilor acestora, asigurarea 
segregării responsabilitatilor pentru aceste funcţii, asigurarea că politicile de securitate acoperă 
toate activităţile IT într-un mod consistent. 


e Controlul accesului logic (administrarea utilizatorilor, existenţa şi implementarea regulilor pentru 
parole, controlul asupra conturilor cu drepturi depline, existenţa unor utilitare de sistem cu funcţii 
specializate, accesul IT, revizuirea jurnalelor de operaţii). 


e Revizuirea jurnalelor de operaţii presupune monitorizarea şi analiza periodică a jurnalelor de 
operaţii, alocarea responsabilitatilor şi specificarea metodelor care se aplică. 


e Administrarea utilizatorilor are asociate proceduri formale privind administrarea drepturilor 
utilizatorilor, acordarea, modificarea şi revocarea drepturilor de acces. 


e Regulile pentru parole. Se stabilesc proceduri formale care implementează controale relative la: 
lungimea parolei, existenţa unor reguli referitoare la conţinutul parolei, stabilirea unei perioade de 
valabilitate a parolei, numărul de încercări prevăzute până la blocarea contului, existenţa unei 
persoane cu atribuţii în deblocarea conturilor blocate, numărul de parole reţinute de către sistem, 
schimbarea parolei la prima accesare. 


e Controlul asupra conturilor cu drepturi depline / utilitare de sistem. Se au în vedere controale 
privind: stabilirea dreptului de administrare a sistemului, de alocare şi autorizare a conturilor cu 
drepturi depline, de monitorizare a activităţilor utilizatorilor cu drepturi depline. 


e Acces IT. Se au în vedere controale privind: drepturile de acces ale programatorilor la mediile de 
producţie, drepturile de acces ale departamentului IT la datele celorlalte departamente. 


e Conexiuni externe. Controalele se referă la: protejarea conexiunilor externe împotriva atacurilor 
informatice, existenţa unor proceduri de control al accesului de la distanţă, măsurile de securitate 
aplicate pentru a controla accesul de la distanţă. 


B.4.1 Aspectele care se iau în considerare atunci când se examinează controalele privind Politica 
de securitate 


e Existența unei politici de securitate |T formale; 


e Se verifică dacă aceasta este distribuită tuturor utilizatorilor, dacă utilizatorii semnează că au luat 
cunoştinţă de politica de securitate IT; 


e Aplicarea unor măsuri pentru a creşte conştientizarea în cadrul entității cu privire la securitate 
(cursuri, prezentări, mesaje pe e-mail); 


e Se analizează conţinutul documentului pentru a evalua domeniile acoperite de politica de 
securitate şi cadrul procedural asociat; 


e Se verifică dacă politica de securitate este actualizată periodic şi dacă este alocată 
responsabilitatea cu privire la actualizarea politicii de securitate. 


Auditorul trebuie să determine prin interviu, prin analiza politicii de securitate şi a procedurilor asociate şi 
prin observare directă dacă Politica de securitate este distribuită tuturor utilizatorilor, dacă utilizatorii au 
semnat că au luat cunoştinţă de politica de securitate IT, dacă există o persoană care este responsabilă 
de actualizarea acestei politici, dacă s-au aplicat măsuri pentru a creşte conştientizarea în cadrul entității 
cu privire la securitate (cursuri, prezentări, mesaje pe e-mail). 
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B.4.2 Controlul accesului logic 


Organizațiile, prin utilizarea aplicaţiilor informatice, iniţiază tranzacţii, efectuează prelucrări şi elaborează 
rapoarte legate de specificul afacerii. O problemă deosebit de importantă este protejarea informaţiilor şi a 
resurselor aferente sistemelor IT, care nu pot fi controlate uşor numai prin intermediul controalelor fizice. 
Problema este cu atât mai complicată, cu cât calculatoarele sunt conectate în reţele locale sau în rețele 
distribuite geografic. 


Controalele logice de acces pot exista atât la nivelul sistemului, cât şi la nivelul aplicaţiei. Controalele la 
nivelul sistemului pot fi utilizate pentru restricționarea accesului utilizatorilor la anumite aplicaţii şi date si 
pentru a restricționa folosirea neautorizată a utilităţilor sistemelor. Controalele logice de acces sunt 
adesea utilizate împreună cu controalele fizice de acces pentru a reduce riscul modificării neautorizate a 
programelor şi a fişierelor de date. Monitorizarea continuă a documentelor (jurnalelor) care înregistrează 
evenimentele care se referă la accesul logic constituie un factor de creştere a eficienţei controalelor 
implementate. Eficienţa rapoartelor către conducere şi a registrelor produse de calculatoare este 
semnificativ redusă dacă nu sunt analizate şi verificate regulat de către conducere. 


Măsurile de acces logice se reflectă în regulamente sau norme interne care trebuie să conducă la 
adoptarea controalelor specifice. Fără un regulament este dificil să se constate dacă măsurile aplicate 
sunt adecvate. 


Controalele logice de acces neadecvate nu vor asigura protecţia sistemului fata de utilizatorii neautorizati. 
De exemplu, accesul neautorizat la editoarele de fişiere poate conduce la modificarea fişierelor aplicaţiei. 
Pentru a identifica utilizatorii care încearcă să desfăşoare activităţi neautorizate se alocă acestora coduri 
unice de identificare. Codul unic de identificare al utilizatorului poate asigura un parcurs al auditului, cu 
condiţia ca acesta să fie înregistrat în sistem şi în aplicaţie. 

Utilizarea de controale logice de acces suplimentare reduce riscul accesului neautorizat şi riscul de 
manipulare a datelor şi creşte şansele de detectare. 

Parola constituie, de asemenea, un control puternic al accesului logic. Reguli neadecvate privind parolele 
pot conduce la lipsa acestora sau la identificarea lor cu uşurinţă şi, în consecinţă, sistemele pot fi mai uşor 
accesate de utilizatori neautorizati. 

Personalul de dezvoltare cu acces la datele reale şi la programe constituie, de asemenea, un factor de 
risc cu grad ridicat, întrucât această categorie de personal poate să facă modificări accidentale sau / şi 
ştie cum să opereze modificări de rea credinţă sau frauduloase. 


Un risc major îl constituie şi controlul neadecvat asupra utilizatorilor puternici (administratori, ingineri de 
sistem), care creşte riscul modificărilor neautorizate ale programelor şi ale datelor financiare. 


Controalele accesului logic sunt constituite dintr-un ansamblu de măsuri şi proceduri implementate prin 
soluţii organizatorice sau prin programe software, având ca scop protejarea resurselor de calcul (date, 
programe şi echipamente) împotriva accesului neautorizat. 


În ceea ce priveşte securitatea accesului logic, se au în vedere următoarele elemente: 
o Identificarea utilizatorului prin intermediul numelui sau a unui identificator; 


o Autentificarea utilizatorului prin intermediul parolelor, al codurilor PIN (pentru card-ul 
bancar), al semnăturii sau al caracteristicilor biometrice (amprente, voce etc.); 

o Protectia resurselor (fişiere, directoare, unităţi periferice). Protecţia resurselor are în vedere 
asigurarea necesităţilor fiecărui utilizator şi restrictionarea accesului numai la resursele 
asociate cu drepturile care decurg din cerințele sarcinilor sale. 


Resurse, fişiere şi facilităţi care necesită protecţie 


Principalele resurse, fişiere şi facilităţi care necesită protecţie sunt: 
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e Fisierele de date (fişiere cu tranzacţii sau baze de date): acestea trebuie protejate, existând riscul 
modificărilor neautorizate sau chiar al ştergerii datelor. 


e Aplicațiile. Accesul nerestrictionat la aplicaţii creşte riscul modificărilor neautorizate, care pot 
conduce la fraudă, pierdere de date sau alterare a datelor. Anumite modificări în aplicaţii pot 
rămâne nedetectate o perioadă îndelungată, producând consecinţe greu de estimat. 


e  Fişierele de parole protejate neadecvat pot fi citite de către persoane care vor avea acces la toate 
conturile din sistem, inclusiv la cele privilegiate, putând produce pagube considerabile. 


e Software-ul de sistem şi utilitarele (editoare, compilatoare, programe de depanare) trebuie 
protejate pentru a nu fi utilizate ca instrumente de modificare a fişierelor de date şi a aplicaţiilor 
software sau şterse. 


e Jurnalele de operaţii (Log files) reprezintă documente conţinând contabilitatea sistemului, acestea 
înregistrându toate acţiunile utilizatorilor (cine s-a conectat la sistem, când, ce resurse a utilizat). 
Pentru schimbarea datelor financiare, aplicaţia înregistrează utilizatorul care a operat modificarea, 
ce date au fost modificate, valorile înainte şi după modificare. Accesul neautorizat la jurnalul de 
operaţii, combinat cu modificarea neautorizată a datelor financiar-contabile constituie fraudă care 
poate fi mascată prin ştergerea sau editarea acţiunilor din jurnalul de operaţii, în scopul ascunderii 
intervenţiei neautorizate în sistem. 

e  Fişierele temporare care memoreaza informaţii pentru o perioadă scurtă (de exemplu, fişierele 
create înaintea transmiterii către imprimantă): acestea pot fi alterate în lipsa unei protectii 
adecvate, înainte de a fi prelucrate (în cazul listării fişierelor generate de sistem pentru a fi 
transmise la imprimantă, acestea pot fi afişate în prealabil şi chiar modificate). 


Cadrul de securitate a accesului 


Asigurarea unor controale adecvate care să se adreseze oricărui risc identificat pentru sistemele 
informatice este responsabilitatea managementului. Managementul trebuie să decidă asupra sistemului 
de controale logice ale accesului, stabilind pentru entitate politica de securitate a accesului, care poate 
conţine: 


+ Definirea sistemului de securitate şi, în mod specific, a termenilor confidentialitate, integritate 
şi disponibilitate; 

+ Declaraţii privind securitatea (de exemplu, "nivelul de protecţie va fi comensurat cu nivelul 
riscului şi cu valoarea patrimoniului”); 


+ Responsabilitati: vor fi definite responsabilitatile tuturor utilizatorilor (grupuri de utilizatori: 
utilizatori obişnuiţi, proprietarul sistemului, managementul securităţii, auditul IT). 


Controalele accesului logic se vor detalia pe baza declaraţiilor de nivel înalt cuprinse în politica de 
securitate IT a entității. 


Aspectele care se iau în considerare atunci când se examinează controalele privind controlul accesului 
logic: 


Revizuirea logurilor (jurnalelor de operaţii) 


o Asigurarea că logurile aplicaţiilor importante sunt monitorizate şi analizate periodic (cine, când, 
cum, dovezi). 


Administrarea utilizatorilor 
o Existența unei proceduri pentru administrarea drepturilor utilizatorilor. Se verifică modul de 
implementare; 
o Includerea în procedura de mai sus a măsurilor ce trebuie luate în cazul în care un angajat pleacă 
din cadrul instituţiei; 
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o Existența unui document (formular pe hârtie sau în format electronic) pentru crearea şi ştergerea 
conturilor de utilizator şi pentru acordarea, modificarea şi revocarea drepturilor de acces care să 
fie aprobat de conducere; 


Acordarea tuturor drepturilor de acces, în baza acestui formular; 


Verificarea periodică a utilizatorilor activi ai sistemului în concordanţă cu lista de angajaţi furnizată 
de departamentul resurse umane. 


Reguli pentru parole 
o Definirea regulilor pentru parole de acces în subsistemele IT; 
o Trebuie avute în vedere următoarele elemente: 


- lungimea parolei; 

- reguli referitoare la conţinutul parolei; 

- perioada de valabilitate a parolei, 

- numărul de încercări până la blocarea contului; 

- cine poate debloca un cont; 

- numărul de parole precedente reţinute de către sistem; 

- utilizatorii sunt forţaţi să schimbe parola la prima accesare. 


Control asupra conturilor cu drepturi depline / utilitare de sistem 


o Alocarea dreptului de administrare pentru aplicaţiile / subsistemele de bază; 
o Alocarea şi autorizarea conturilor cu drepturi depline; 
o Monitorizarea activităţilor utilizatorilor cu drepturi depline. 


Acces IT 
o Verificarea drepturilor de acces la datele reale pentru programatori; 


o Verificarea drepturilor de acces la datele celorlalte structuri ale entității pentru compartimentul 
IT. 


Controale privind accesul la aplicaţii şi la sistemul de operare 


Controalele accesului logic pot exista pe două niveluri: nivelul sistemului şi nivelul aplicaţiilor şi, în 
consecinţă, controalele accesului pot fi construite în sistemul de operare şi / sau în fiecare aplicaţie. La 
fiecare nivel, controalele accesului logic sunt implementate de administratori diferiţi. 

La nivelul instalării, responsabilul cu administrarea va controla cine se poate lega la reţea şi care sunt 
aplicaţiile şi fişierele de date pe care le poate accesa. 

La nivelul aplicaţiilor, administratorul aplicaţiei va fi responsabil cu alocarea drepturilor de acces la 
funcţiile şi la informaţiile fiecărei aplicaţii în parte. 

Administratorul de sistem din departamentul IT trebuie să cunoască sistemul de operare, resursele 
acestuia şi care sunt aplicaţiile şi utilitarele performante ale sistemelor, care necesita să fie protejate fata 
de persoane din afară sau fata de personalul IT neautorizat. Această abordare asigură separarea 
atribuţiilor între administratorul de sistem şi administratorul de aplicaţie. 


Protecţia resurselor 


Protecţia resurselor presupune un nivel adiţional de controale, necesar pentru a restricționa accesul 
utilizatorilor numai la anumite resurse ale sistemului. 
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Controalele de meniu pot fi prezente în sistemul de operare, în software-ul utilitar sau în 
aplicaţii. Administratorul de sistem poate configura sistemul astfel încât să menţină active numai 
funcţiile din meniu la care utilizatorul are acces. Ca formă de prezentare, denumirile acestora au o 


A " 


culoare intensă, în timp ce funcţiile neautorizate sunt colorate în "gri". 

Securizarea fişierelor şi a programelor. Accesul la funcţiile sistem trebuie sa fie acordat numai 
utilizatorilor autorizaţi de către management, având în vedere considerente privind asigurarea 
integrităţii şi confidentialitatii datelor în concordanţă cu obiectivele afacerii. 

Permisiile pentru fişiere se referă la autorizarea diferențiată a funcţiilor de introducere şi 
actualizare sau de modificare a acestora în funcţie de drepturile alocate utilizatorilor. 


Notă: Atributele tipice privind accesul la fişiere sau la alte resurse ale sistemului sunt: 
citire, scriere, creare, actualizare, ştergere, execuţie şi copiere. 


Alte controale ale accesului logic sunt: limitarea numărului de sesiuni concurente, limitarea intervalului 
de lucru (între anumite ore), blocarea accesului la introducerea repetată a parolei greşite, ieşirea 
automată din sistem dacă într-un interval de timp nu s-a detectat nici o activitate, restricționarea accesului 
pentru anumite terminale specificate. 


Jurnalele de operaţii ale sistemului 


Controalele menţionate în secţiunea anterioară au un caracter preventiv, fiind proiectate pentru a asigura 
că accesul persoanelor neautorizate în sistem este prevenit. 

O altă categorie de controale presupune detectarea tentativelor şi a activităţilor de acces neautorizat. 
Aceste evenimente sunt înregistrate automat în jurnalele de operaţii ale sistemului: jurnalul de operaţii 
privind securitatea şi jurnalul de operaţii al tranzacţiilor. 


Jurnalul de operaţii privind securitatea conţine informaţii privind: accesul nereuşit, utilizarea sistemelor 
utilitare şi a aplicaţiilor, identificarea utilizatorului care a iniţiat accesul. 


Întrucât înregistrarea tuturor evenimentelor privind securitatea presupune un efort şi un consum de 
resurse semnificative, iar efortul de revizuire a acestora este mare consumator de timp, maniera de 
tratare a evenimentelor constituie obiectul unei decizii care trebuie să aibă la bază balanţa între 
evenimentele legate de securitate şi senzitivitatea sistemului. O soluţie eficientă în acest caz este 
utilizarea unor instrumente de raportare prin excepţie a celor mai semnificative evenimente. 


De asemenea, trebuie implementate controale privind protecţia jurnalului de operaţii pentru a preveni 
ştergerea sau suprascrierea acestuia în scopul distrugerii dovezilor în cazul tentativelor de fraudă. 


Jurnalul de operaţii al tranzacţiilor înregistrează traseul tranzacţiilor în procesul de prelucrare, în inte- 
riorul sistemului. 


Auditorul trebuie să determine prin consultarea documentelor, prin interviu şi prin observare directă (la 
stațiile de lucru) dacă este implementat cadrul procedural pentru asigurarea controlului accesului logic şi 
modul de monitorizare a acestuia: 


e trebuie să verifice modul de implementare a regulamentului de control al accesului şi dacă acesta 
este documentat şi actualizat. 

e trebuie să evalueze măsurile de acces logic existente pentru a restricționa accesul la sistemul de 
operare, la fişierele de date şi la aplicaţii şi să aprecieze dacă acestea sunt corespunzatoare: 
meniuri restrictionate pentru utilizatori, coduri unice de identificare si parole pentru utilizator, 
revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului şi al grupului. 
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e va evalua cât de adecvate sunt regulile privind parolele ale entității (lungimea parolei, durata / 
datele de expirare, procedurile de modificare, componenţa parolei, dezafectarea codului de 
identificare al celor ce pleacă din instituţie, criptarea parolei, înregistrarea şi alocarea de parole 
noilor utilizatori, punerea în aplicare a regulilor privind parolele. 


e va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces 
logic: jurnale de operaţii, restricționarea încercărilor de acces, proceduri şi registre de acces, 
acces specific în funcţie de terminal, registre de încercări neautorizate, limitarea acceselor 
multiple, timp automat de expirare, acces restricţionat la utilităţi şi înregistrarea folosirii utilităţilor 
sistemului şi a instrumentelor de audit, controlul staţiilor de lucru neutilizate. 


e va evalua măsurile pentru restricționarea accesului personalului de dezvoltare a sistemului la 
datele reale (din mediul de producţie) şi la mediul de producţie (programatori, firma dezvoltatoare 
de software). 


e va evalua modul de alocare, autorizare, control şi monitorizare a utilizatorilor privilegiați 
(administratori, ingineri de sistem şi programatori de sistem şi de baze de date). 


B4.3 Aspectele care se iau în considerare atunci când se examinează controalele privind 
administrarea securităţii 


e Alocarea responsabilităţi cu privire la administrarea securităţii IT şi definirea in mod 
formal a sarcinilor administratorului securităţii 


e Asigurarea separării responsabilitatilor pentru administratorul securităţii 


e Se verifică dacă aplicarea politicilor de securitate acoperă toate activităţile IT într-un mod 
consistent. 


Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat 
cadrul procedural pentru asigurarea controlului administrării securităţii (examinarea documentelor din care 
rezultă responsabilitățile şi sarcinile cu privire la administrarea securităţii IT, separarea atribuţiilor, 
reflectarea acestora în politica de securitate). 


B.4.4 Aspectele care se iau în considerare atunci când se examinează controalele privind 
conexiuni externe 


e Existenţa unei persoane desemnate pentru administrarea reţelei IT 
e Măsurile luate pentru monitorizarea reţelei din punct de vedere al securităţii şi performanţei 


e Modul de protejare a conexiunilor externe împotriva atacurilor informatice (viruşi, acces 
neautorizat) 


e Daca este permis accesul la sistem unor organizaţii externe (ex. Internet, conexiuni on-line) 


e Se verifică existenţa unor proceduri de control privind accesul de la distanţă şi măsurile de 
securitate aplicate 


Controale de acces slabe măresc riscul atacurilor din partea hackerilor, al viermilor şi al viruşilor care 
afectează integritatea şi disponibilitatea evidenţelor financiare. 

Managementul inadecvat al reţelei poate expune organizaţia amenințărilor interne şi externe cu privire la 
integritatea datelor. O reţea slab securizată poate, de exemplu, să fie vulnerabilă la difuzarea viruşilor 
informatici. 


Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat 
cadrul procedural pentru asigurarea controlului reţelei: existența unei persoane desemnate pentru 
administrarea rețelei IT, măsurile luate pentru monitorizarea securităţii rețelei, pentru protejarea 
conexiunilor externe împotriva atacurilor informatice (viruşi, acces neautorizat), reglementarea accesului 
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la sistem din partea unor organizaţii externe (de exemplu, Internet, conexiuni on-line), existența unor 
proceduri de control privind accesul de la distanţă şi măsurile de securitate aplicate. 


B.4.5 Aspectele care se iau în considerare atunci când se examinează controalele de reţea şi de 
utilizare a Internetului 


Întrucât conectarea sistemelor în reţele comportă riscuri specifice, reţeaua trebuie controlată astfel încât 
să poată fi accesată numai de către utilizatorii autorizaţi, iar datele transmise să nu fie pierdute, alterate 
sau interceptate. 


În ultimii ani, extinderea reţelei Internet a scos în evidenţă şi a impus cerinţe, concepte şi riscuri noi, care 
au avut consecinţe privind securitatea sistemelor şi controalele asociate. 


a) Controalele privind erorile de transmisie şi de comunicaţie: se referă la erorile care pot să apară în 
fiecare stadiu al ciclului comunicaţiei, de la introducerea datelor de către utilizator, continuând cu 
transferul până la destinaţie. 


Controalele de reţea cele mai relevante pe care entităţile trebuie să le implementeze, sunt: 

+ Politica de securitate a reţelei, care poate face parte din politica generală de securitate IT; 

+ Standardele de reţea, procedurile şi instrucţiunile de operare, care trebuie să se bazeze pe 
politica de securitate a reţelei şi să fie documentate. Copii ale acestei documentatii trebuie să fie 
disponibile pentru personalul implicat în securitatea sistemului; 

+ Documentaţia rețelei, care descrie structura logică şi fizică a reţelei; 

+ Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces 
la resursele sistemului; 

+  Restricţiile privind utilizarea resurselor externe (de exemplu este restricţionat accesul în reţeaua 
Internet); 

+ Reţeaua trebuie să fie controlată şi administrată de personal cu instruire şi experienţă adecvate, 
monitorizat de management; 

+ Anumite evenimente trebuie înregistrate automat în jurnalele de operaţii de către sistemul de 
operare al reţelei. Jurnalele de operaţii trebuie revizuite periodic pentru a se depista activităţile 
neautorizate; 

+ Utilizarea unor instrumente utilitare pentru managementul şi monitorizarea rețelei (pachete 
software sau echipamente hardware), disponibile pentru administratorii de reţea. Acestea pot 
monitoriza utilizarea reţelei şi a capacităţii acesteia şi pot inventaria produsele software utilizate 
de către fiecare utilizator; 

e Accesul furnizorilor de servicii şi al consultantilor trebuie sa fie monitorizat; 

+  Terminalele pot fi restrictionate prin intermediul codurilor de terminal sau a al adresei de reţea; 

+  Criptarea datelor pentru protejare în cazul interceptării în reţea; 

+ Utilizarea liniilor private sau dedicate pentru reducerea riscului de interceptie; 

e Utilizarea comunicaţiei digitale în locul celei analoge. Legăturile digitale au o capacitate mai 
mare, nu au nevoie de modem-uri şi nu au erori din cauza conversiei digital - analog. 


b) Controalele Internet 
Implicaţiile privind securitatea şi controlul, care decurg din conectarea la Internet a unei entităţi sunt: 


e implicațiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaţiei în reteaua 
Internet, care pot genera riscuri majore pentru securitatea sistemului entității. Cele mai importante 
sunt: caracterul anonim al unor utilizatori care vor să contravină principiilor accesului în Internet, 
vulnerabilitatea confidentialitatii prin interceptarea parolei cu ajutorul unor programe specializate 
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în cursul înregistrării pe anumite site-uri, acţiunile hackerilor, pirateria şi pornografia, software rău 
intenţionat (viruși, programe "cal troian"). 

e Protecţia securităţii are aspecte specifice acestui tip de comunicaţie: educarea utilizatorilor proprii 
privind consecințele unui comportament neadecvat sau ale neglijării unor precauţii legate de 
utilizarea reţelei Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la Internet, în 
scopul evitării expunerii directe a sistemului de calcul propriu la atacuri din reţeaua Internet. 


Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat 
cadrul procedural pentru asigurarea că rețeaua este controlată astfel încât să poată fi accesată numai de 
către utilizatorii interni sau externi autorizaţi, iar datele transmise să nu fie pierdute, alterate sau 
interceptate: implementarea unei politici de securitate a reţelei, utilizarea standardelor de reţea, a 
procedurilor şi a instrucţiunilor de operare asociate acestei politici, existența şi disponibilitatea 
documentaţiei aferente cadrului procedural şi a documentaţiei reţelei (care descrie structura logică şi 
fizică a reţelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind 
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor 
externe, existenţa unui personal cu instruire şi experiență adecvate, înregistrarea automată în jurnalele de 
operații şi revizuirea periodică a acestora pentru a se depista activităţile neautorizate, utilizarea unor 
instrumente software/hardware pentru managementul şi monitorizarea reţelei, monitorizarea accesului 
furnizorilor de servicii şi al consultantilor, criptarea datelor. 


Controale de bază în reţeaua Internet 


Cea mai bună politică pentru minimizarea consecințelor negative generate de conexiunea directă la 
Internet conţine următoarele aspecte: 
+ Izolarea fizică a calculatorului de sistemul de calcul al entității; 
+ Desemnarea unui administrator cu experienţă şi de încredere pentru supravegherea 
calculatoarelor cu acces la Internet; 
e Prevenirea accesului anonim sau, dacă trebuie să fie permis, eliminarea efectelor negative ale 
acestuia; 
+ Ştergerea de pe calculatorul cu acces la Internet a tuturor datelor şi programelor care nu sunt 
necesare; 


e Monitorizarea atacurilor prin înregistrarea lor; 

e Transferul fişierelor din sistemul informatic al entității pe calculatorul legat la Internet dupa ce 
acesta a fost verificat cu atenţie şi ţinând seama de faptul că fişierele pot fi transferate utilizând 
serviciul de e-mail; 

e Crearea unui număr cât mai mic posibil de conturi de utilizator pe calculatorul cu acces la 
Internet şi schimbarea regulată a parolelor. 


Protectii "Firewall". Dacă necesităţile cer conectarea directa la Internet cu riscuri minime, se utilizează 
includerea în configuraţie a unei protectii de tip "firewall" pentru a facilita controlul traficului între reţeaua 
entității şi Internet şi pentru a stopa penetrarea pachetelor externe neautorizate. 


Acesta constă într-o combinaţie de calculatoare (router şi gateway) care asigură şi servicii adiţionale 
privind: autentificarea, încriptarea şi înregistrarea în jurnalul de operaţii. 


Politica privind parolele. O politică adecvată privind parolele poate avea o contribuţie semnificativă 
pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor 
neconectate la Internet rămân valabile şi pentru acest tip de acces. 


Controlul accesului conţine, în afara politicilor privind parolele aferente calculatoarelor neconectate la 
Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de încriptare 
a parolelor. 
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Criptarea este o formă de protecţie asigurată prin codificarea informaţiilor transmise în reţeaua Internet. 


Serviciile de poştă electronică perfecţionate sunt dezvoltate pentru a asigura confidentialitatea şi 
integritatea mesajelor transmise, prin încriptare şi prin semnare. 


Instrumentele de evaluare a securității sunt instrumente disponibile pe Internet utilizate pentru analiza 
şi evaluarea securităţii reţelelor, raportând slăbiciunile acestora în ceea ce priveşte controlul accesului 
sau regulile pentru parole. 


Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementată o 
politică pentru minimizarea consecințelor negative generate de conexiunea directă la Internet, care să 
abordeze aspectele prezentate mai sus: protecţie firewall, administrator cu experienţă şi de încredere 
pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, incriptarea, 
Instrumentele de evaluare a securităţii utilizate, serviciile de poştă electronică perfecţionate, monitorizarea 
atacurilor. 


PROCEDURA B5 - Continuitatea sistemelor 


Managementul continuității sistemelor are ca obiectiv principal menţinerea integrităţii datelor entității prin 
intermediul unor servicii operaţionale şi al unor facilităţi de prelucrare şi, dacă este necesar, furnizarea 
unor servicii temporare până la reluarea serviciilor întrerupte. 


În scopul eliminării riscului unor defecţiuni majore generate de sistemul IT, trebuie implementate controale 
adecvate, astfel încât entitatea să poată relua în mod eficient operaţiunile, într-o perioadă de timp 
rezonabilă, în cazul în care funcţiile de prelucrare nu mai sunt disponibile. Aceasta presupune, în 
principal, întreţinerea şi gestionarea copiilor de siguranţă ale datelor şi sistemelor, implementarea unor 
politici pentru managementul problemelor, planificarea continuității, protecţia împotriva viruşilor. 


B.5.1 Mentinerea copiilor de siguranţă (backup) ale datelor şi sistemelor 


Este o cerinţă esenţială pentru asigurarea continuității sistemelor informatice, întrucât deteriorarea 
fondului de date sau a programelor ar compromite întregul sistem şi, implicit, activităţile care se bazează 
pe rezultatele furnizate de acesta. Pentru eliminarea acestui risc este necesară elaborarea şi aplicarea 
unei proceduri formale de salvare / restaurare, şi de conservare a copiilor, care să precizeze: conţinutul 
copiei, tipul suportului, frecvenţa de actualizare, locul de stocare. De asemenea, se impune elaborarea 
unor proceduri de testare a copiilor de rezervă şi de recuperare a sistemului în caz de incident, precum şi 
evaluarea timpului necesar restaurării datelor / sistemelor în caz de incident. 


Auditorul va examina procedurile şi modul de implementare a controalelor referitoare la următoarele 
obiective de control: 


e Implementarea unei proceduri formale de salvare (back-up) care să specifice: 


- tip de copie (automată/manuală); 
- frecvenţa copiilor de siguranță; 
- conţinutul copiei (date, aplicaţii, sisteme, complet/incremental); 
- locul de stocare a copiei/copiilor; 
- tipul de suport; 
- alte comentarii. 
e Existența unei proceduri de testare a copiilor de siguranță. Frecvența şi modul de evidentiere; 
e Implementarea unei proceduri de recuperare / restaurare; 
e Efectuarea de către entitate a unor analize cu privire la timpul necesar restaurării datelor/apli- 
catiilor/sistemului. 
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B.5.2 Managementul capacităţii 


Managementul capacităţii se bazează pe analiza capacităţii configurației disponibile de a face fata 
cerinţelor sistemelor sau aplicaţiilor prin prisma unor criterii de performanţă stabilite. Concluziile formulate 
constituie suport pentru decizii privind: măsuri referitoare la eliminarea îngustărilor de trafic, optimizarea 
configurării reţelelor şi/sau sistemelor, reproiectări ale fluxurilor, elaborarea unor grafice de utilizare, 
extinderea configuratiilor sau înlocuirea acestora. 


Auditorul va examina procedurile şi modul de implementare a controalelor referitoare la următoarele 
obiective de control: 


e Efectuarea de către entitate a unor analize privind capacitatea pentru hardware şi pentru rețea, 
precum şi periodicitatea acestor analize; 


e Efectuarea de către entitate a unor analize privind performanţa şi capacitatea aplicaţiilor IT şi 
indicatorii avuti în vedere; 


e Efectuarea de către entitate a unor analize privind gâtuirile de trafic. Detalierea problemelor. 


B.5.3 Managementul problemelor 


Managementul problemelor are ca scop depistarea şi soluţionarea problemelor apărute în funcţionarea 
sistemului informatic pe întreaga durată de viaţă a acestuia prin asigurarea unui cadru procedural care să 
impună: (a) modul de detectare, semnalare, comunicare, înregistrare, rezolvare şi urmărire a problemelor, 
(b) analiza şi verificarea modului de rezolvare, etapele care se parcurg, precum şi (c) documentele 
utilizate (registrul problemelor, lista problemelor rămase deschise sau care se repetă frecvent). 


Auditorul va examina procedurile şi modul de implementare a controalelor referitoare la următoarele 
obiective de control: 


e Implementarea unui cadru procedural care să trateze următoarele aspecte: 


- Modul în care se semnalează compartimentului IT apariţia problemelor, 
- Cum se tine evidenţa problemelor în cadrul compartimentului IT (registru al problemelor sau o 
altă formă de evidenţă); 
- Implementarea funcţiei helpdesk; 
- Etapele care trebuie urmate pentru rezolvarea problemelor; 
- Verificarea şi analiza listei de probleme de către conducere; 
- Implementarea unei proceduri de urmărire a problemelor rămase deschise; 
- Implementarea unei proceduri pentru situaţia nerezolvării problemei; 
e  Responsabilitatea documentării şi aducerii la cunoştinţa celor direct implicaţi a acestor proceduri. 


B.5.4 Planificarea continuității 


Planificarea continuității proceselor IT presupune existenţa unui plan documentat corespunzător de conti- 
nuitate a afacerii şi, în particular, a operaţiunilor IT. Planul de continuitate a afacerii reprezintă un control 
corectiv semnificativ. 

Pentru elaborarea unui plan extensiv, care să răspundă gamei largi de probleme asociate continuității 
proceselor IT sunt necesare atât aptitudini cât şi disponibilitatea unei metodologii care să ofere cadrul 
procedural pentru toată problematica abordată: definirea obiectivelor, agrearea bugetului, definirea 
proceselor, alocarea resurselor, stabilirea termenelor şi a responsabilitatilor, aprobare. 
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Elaborarea planului are la bază o analiză detaliată a impactului pe care l-ar genera lipsa sistemului IT 
asupra afacerii, în scopul reducerii riscurilor. Sunt examinate, de asemenea, măsurile de prevenire a 
dezastrului pentru a opera perfecţionarea acestor măsuri. Pe baza analizelor şi informaţiilor preliminare, 
se realizează dezvoltarea planului de continuitate, care va fi implementat, testat prin simulări periodice şi 
actualizat în funcţie de schimbările impuse de rezultatele simularilor. 

Planul de continuitate trebuie să fie făcut cunoscut personalului implicat în procesele IT. 


Conţinutul unui plan de continuitate poate varia în funcţie de circumstanțe, dar, în general, include urmă- 
toarele secţiuni: secțiunea administrativă, contracte suport, operarea calculatoarelor privind recuperarea 
proceselor cheie IT, infrastructura IT necesară recuperării şi procedurile asociate, locaţia de back-up, 
identificarea locului unde sunt stocate arhivele cu suporţi tehnici care contin salvările şi procedura de 
obținere a accesului la acestea, personalul implicat în procesul de recuperare în caz de dezastru 
(personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul în care dezastrul a fost extensiv 
şi a necesitat evacuări), revenirea la normal (lista detaliată a responsabilitatilor echipelor implicate în 
restabilirea condiţiilor normale de activitate). 


Auditorul va examina procedurile şi controalele privind existenţa, implementarea, urmărirea şi testarea cu 
regularitate a planului privind asigurarea continuității activităţii entității şi, în particular, a operaţiunilor IT. 


B.5.5 Managementul operaţiunilor IT 


Managementul operaţiunilor IT se realizează pe baza unor proceduri elaborate şi documentate. În cadrul 
misiunii de audit se verifică existenţa controalelor privind implementarea acestor proceduri şi atribuirea 
responsabilitatilor legate de aplicarea şi actualizarea acestora. 


Procedurile operaţionale IT furnizează asigurarea că sistemele de aplicaţii sunt disponibile la momentele 
programate, operează în concordanţă cu cerinţele, iar rezultatele prelucrărilor sunt produse la timp. 


Controalele operaţionale reduc riscurile adoptării unor practici de lucru necorespunzătoare într-un 
departament IT. Practicile de lucru necorespunzătoare pot afecta auditul financiar întrucât utilizarea calcu- 
latorului constituie baza pentru întocmirea situaţiilor financiare. Punctele slabe din mediul de operare ar 
putea fi exploatate pentru a rula programe neautorizate şi a efectua modificări ale datelor financiare. 
Operarea pe calculator trebuie să asigure o procesare exactă, corespunzătoare a datelor financiare. 
Controlul neadecvat asupra operatorilor la calculator creşte riscul acţiunilor neautorizate. Operatorii 
nesupravegheati pot face uz de utilităţile sistemului pentru a efectua modificări neautorizate ale datelor 
financiare. 

Experienţa şi pregătirea neadecvata a personalului măreşte riscul comiterii de greşeli în departamentul IT. 
Greşelile pot conduce la orice efect, de la căderea sistemului, până la ştergerea datelor unei perioade. 
Întreţinerea neadecvată a echipamentului informatic poate cauza probleme de disponibilitate a aplicaţiilor, 
iar disfunctiile sistemului pot conduce la date eronate. 

Registrele de procesare pot reduce riscurile unei activităţi neautorizate. Pot fi utilizate de asemenea 
pentru determinarea extensiei erorilor de procesare. 

Documentaţia slabă sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului, 
pierderea integrităţii datelor sau întârzieri în recuperarea acestora după eliminarea defectelor din sistem. 


În general, sunt implementate următoarele tipuri de proceduri operaţionale: 


- proceduri de recuperare sau de restartare; 

- proceduri pentru instalarea de software şi hardware; 

- proceduri la început de zi/sfarsit de zi, dacă este cazul; 
- proceduri privind raportarea incidentelor; 

- proceduri privind rezolvarea problemelor. 
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Auditorul va examina procedurile şi modul de implementare a controalelor privind operaţiunile IT: 
existența unui manager de reţea, existența unui acord privind nivelul de servicii între departamentul 
informatică şi restul organizaţiei, respectiv cu utilizatorii sistemului (care să acopere disponibilitatea 
serviciilor, standardele de servicii etc.), existenţa unor proceduri şi măsuri de supraveghere a personalului 
de operare a calculatoarelor şi care asigură suport tehnic, pregătirea şi experiența personalului de 
operare, modalitatea şi calitatea întreţinerii calculatoarelor (întreţinere prin mijloace poprii sau de către 
furnizori externi), existenţa, utilizarea şi monitorizarea jurnalelor de operaţii (pentru a detecta activităţi 
neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilitatilor sistemului de operare), 
documentarea adecvată a procedurilor (proceduri de supraveghere, proceduri de procesare, proceduri de 
operare, managementul incidentelor, managementul suportilor de memorare (benzi, discuri, CD, DVD). 


Protecţia împotriva viruşilor se asigură prin existenţa politicilor şi procedurilor privind: soluţia antivirus 
folosită, configuraţiile pe care se aplică, modul de actualizare a fişierului de definiţii, permisiunea pentru 
dezactivarea software-ului antivirus pe staţiile proprii de lucru pentru utilizatori, opţiuni privind scanarea 
software-ului de către programul antivirus (toate fişierele, pe server şi staţiile de lucru, automat, periodic). 


Auditorul va examina procedurile şi controalele privind existența şi implementarea procedurilor 
operaţionale IT şi a protecţiei antivirus: 
e Implementarea unui cadru procedural care să conţină următoarele proceduri operaţionale: 
- Proceduri la început de zi/sfârşit de zi, dacă este cazul; 
- Proceduri de recuperare sau restaurare; 
- Instalare de software si hardware; 
- Raportarea incidentelor; 
-Rezolvarea problemelor. 


e Stabilirea unui responsabil cu actualizarea procedurilor operaţionale IT 


e Protecţia împotriva viruşilor - Implementarea unei proceduri privind utilizarea unei soluţii antivirus 
care să ofere asigurarea privind: 


o Aplicarea soluţiei antivirus tuturor serverelor şi staţiilor de lucru; 

o Actualizarea fişierului de definiţii antivirus; 

o Interdictia dezactivării software-ul antivirus de către utilizatori la staţia proprie de 
lucru; 

o Software-ul antivirus scanează toate fişierele (pe server şi pe staţiile de lucru) 
automat, în mod periodic. 


Managementul configuratiilor presupune asigurarea contextului hardware / software stabil care sa 
sustina functionalitatea continua a sistemului informatic si, implicit, activitatile entitatii auditate. Se verifica 
dacă este prevăzută şi este operaţională menţinerea configuraţiilor echipamentelor IT si ale aplicaţiilor, în 
mod formal, în alte locaţii decât sediul sistemelor. 


Auditorul va examina procedurile şi controalele privind existenţa şi implementarea procedurilor specifice 
managementului configuratillor: 
e Mentinerea în mod formal a configuraţiilor echipamentelor IT şi ale aplicaţiilor şi în alte locaţii 
decât sediul sistemelor de producţie; utilizarea unor măsuri de protecţie; 
e Implementarea unor proceduri care să ofere asigurarea că sunt îndeplinite următoarele condiţii: 
-  Configuraţiile sunt actualizate, comprehensive si complete; 
- Manualele de instalare/utilizare sunt actualizate în concordanță cu ultima versiune de 
sistem; 
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- Se realizează o gestiune a versiunilor programelor şi documentaţiei, iar personalul 
utilizator ştie care sunt cele mai noi versiuni ale programelor şi ale documentaţiei. 


PROCEDURA B6 - Externalizarea serviciilor IT 


Având în vedere că activitatea IT nu este activitatea principală într-o entitate şi că managementul se 
concentrează în primul rând pe obiectivele afacerii, tendinţa principală privind asigurarea serviciilor IT 
este de a utiliza furnizori externi de servicii IT, soluţie care în majoritatea cazurilor contribuie şi la 
reducerea costurilor. 

Necesitatea unor colaborări, a furnizării unor servicii de tehnologia informaţiei (Internet, instruire, asistenţă 
tehnică, întreţinere etc.) determină externalizarea acestor activităţi prin încheierea de contracte semnate 
cu furnizorii acestor servicii. Având în vedere că astfel de relaţii contractuale sunt purtătoare de riscuri 
(atât sub aspect valoric, cât şi la nivelul funcţionalităţi şi securităţii sistemului), auditorul trebuie sa 
evalueze implicaţiile ce decurg din clauzele contractuale privind confidentialitatea, formele de asigurare a 
suportului şi asistenţei tehnice, valorile contractuale pentru asistenţă tehnică şi întreţinere, dependenţa 
fata de furnizor, ţinând seama de natura serviciilor. 


Auditorul va examina în primul rând politicile şi procedurile care asigură securitatea datelor entității. 
Clauzele existente în contractele semnate cu furnizorii oferă o primă imagine privind eventualitatea 
apariţiei unor riscuri în cazul neincluderii unor controale adecvate. 

De asemenea, auditorul va evalua modul în care organizaţia monitorizează prestaţia furnizorilor externi de 
servicii, atât în ceea ce priveşte aspectele legate de securitate, cât şi cele legate de calitatea serviciilor. 
Monitorizarea neadecvată măreşte riscul ca procesarea inexactă sau incompletă să rămână nedetectată. 
Examinarea contractelor de prestări servicii va acoperi toate problemele importante: performanţa (SLAS), 
securitatea, proprietatea asupra datelor, accesul la datele clientului, disponibilitatea serviciului, 
planificarea pentru situaţiile de urgență. 

Auditorul trebuie să obțină asigurarea că furnizorul extern de servicii IT a realizat o procesare exactă şi 
completă. Auditorul va putea obţine asigurarea prin inspecţie personală sau prin obţinerea asigurării unei 
terțe parti independente. 


PROCEDURA B7 - Managementul schimbării şi al dezvoltării de sistem 


Schimbarea sistemului pe durata ciclului său de viaţă are un impact semnificativ asupra controalelor 
existente şi poate afecta fundamental funcţionalitatea sistemului. 

Controalele schimbării sunt necesare pentru a asigura continuitatea sistemului în conformitate cu cerinţele 
impuse şi pot varia considerabil de la un tip de sistem la altul. 


Schimbările se referă la hardware (calculatoare, periferice, rețele), la software (sisteme de operare, 
utilitare) şi la aplicaţiile individuale. Scara schimbărilor poate diferi considerabil: de la proceduri aferente 
unor funcţii dedicate, la instalarea unor versiuni noi de aplicaţii sau sisteme de operare. Indiferent de 
mărimea sau scara schimbărilor, efectele asupra operării sistemului trebuie să fie minime pentru a nu 
perturba activitatea curentă a entității. 


Controalele managementului schimbărilor sunt implementate pentru a se asigura că modificările aduse 
unui sistem informatic sunt corespunzător autorizate, testate, acceptate şi documentate. Controalele 
slabe pot antrena din schimbări care pot conduce la modificări accidentale sau de rea credinţă aduse 
programelor şi datelor. Schimbările de sistem insuficient pregătite pot altera informaţiile financiare şi pot 
întrerupe parcursul de audit. 
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Schimbările pot fi solicitate pentru următoarele motive: 


+ Pentru îmbunătăţirea functionalitatii sistemului în ceea ce priveşte timpul de răspuns, 
existenţa unor discontinuități în meniuri, prezenţa erorilor de program; 

+ Pentru uşurarea operării sistemului: perfectionari privind administrarea bazei de date şi a 
reţelei, asistenţa de tip helpdesk etc.; 

+ Pentru perfectionari privind planificarea capacităţii. resurse adiţionale cerute de sistem, 
componente de capacitate crescută; 

+ Pentru corectarea erorilor semnalate: frecvenţa crescută a incidentelor helpdesk care au 
asociate probleme de sistem; 

+ Pentru perfecţionarea securităţii sistemului şi a informaţiilor: identificarea punctelor 
slabe în sistemul de securitate şi corectarea acestora; 

+ Actualizări de rutină: impuse de dezvoltatorii de software la schimbarea versiunii 
sistemului (clientul trebuie să instaleze în permanenţă versiunea curentă); 

+ Schimbări la nivelul cerinţelor impuse sistemului generate de: schimbări de legislaţie, 
schimbări ale cerinţelor sau orientării afacerii. 


Proceduri de control al schimbării 


Procedurile de control al schimbării trebuie să includă: 


+ Proceduri privind autorizarea de către management; 

+ Testarea software-ului modificat înainte de a fi utilizat în mediul de producţie; 

+  Examinări din partea managementului ale efectelor schimbărilor; 

+  Întreţinerea unor evidențe adecvate; 

e Pregătirea unui plan de recuperare (de revenire la situaţia iniţială), chiar dacă sistemul 
funcţionează corect; 

+ Elaborarea şi implementarea procedurilor privind schimbările în caz de urgență. 


Elaborarea sistemului de proceduri de control al schimbării trebuie pregătită prin colectarea, inventarierea 
şi clasificarea cerințelor privind schimbarea, urmată de acordarea unor priorităţi care semnifică urgenţa 
care se impune pentru fiecare schimbare în parte. Prioritate schimbării este determinată prin evaluarea 
costurilor schimbării şi a impactului asupra afacerii şi a resurselor aferente acesteia. 


Categoriile tipice de schimbări sunt: 


Schimbările de urgenţă: se referă la căderea completă a sistemului, astfel încât trebuie 
asigurate funcţiile critice (indisponibile) ale afacerii; 

Schimbări cu impact potenţial asupra tuturor utilizatorilor sistemului: pot fi generate de 
înlocuirea sistemului sau de instalarea unei noi versiuni a sistemului de operare; 


Schimbări cu impact potenţial asupra tuturor utilizatorilor unui serviciu sau a unei aplicaţii: 
pot fi generate de instalarea unei noi versiuni a unei aplicaţii; 


Schimbări cu impact potenţial asupra tuturor utilizatorilor unui serviciu: se referă la 
reorganizarea unei baze de date sau corectarea unei erori; 


Schimbări minore care necesită reinitializarea sistemului: sunt schimbări de configuraţie 
(adăugare de noi componente în sistem), potrivirea ceasului electronic; 


Schimbări minore: se referă, de exemplu, la schimbarea definiţiilor reţelei, la initializarea unui 
nou hard disk. 
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Decizia privind operarea efectivă a schimbărilor trebuie să ia în considerare o serie de factori: 


+ Impactul potential asupra sistemelor IT şi asupra serviciilor furnizate utilizatorilor: 
capacitate, securitate, timpul de răspuns al sistemului, performanţă; 

+ Efectul nonimplementarii schimbării; 

+ Resursele necesare pentru implementarea schimbării (costuri, personal); 

+ Cerinţe pentru resursele viitoare dacă se va implementa schimbarea. 


În urma aprobării de către management, gestionarea schimbării trebuie transferată către personalul tehnic 
(programatori, operatori, tehnicieni pentru reţele etc.) pentru a asigura implementarea acesteia. 


În cazul schimbărilor aplicaţiilor, programatorii vor face dezvoltările într-un mediu de dezvoltare 
controlat, la care are acces numai personalul autorizat pentru efectuarea schimbării. Versiunea modificată 
şi documentată este transferată pentru validare în mediul de test. Transferul programelor actualizate în 
mediul de producţie este realizat de o altă echipă, nu de către programatorii sau analiştii care au participat 
la dezvoltare sau testare. 


Orice schimbare a sistemului software necesită actualizarea documentaţiei în concordanţă cu schimbările 
operate. 


După o perioadă predefinită, schimbarea trebuie revizuită pentru a determina: 


+ Daca schimbarea s-a finalizat cu rezultatele planificate; 

+ Daca utilizatorii sunt mulţumiţi în ceea ce priveşte modificarea produsului; 

+ Daca au apărut probleme sau efecte neaşteptate; 

+ Daca resursele cerute pentru implementarea şi operarea sistemului actualizat au fost cele 

planificate. 

Schimbările de urgenţă sunt schimbări care sunt necesare în anumite situaţii neprevăzute, nu pot 
aştepta parcurgerea fluxului normal al procedurilor de control al schimbării şi trebuie implementate cu o 
întârziere minimă. Pentru acestea trebuie utilizate proceduri de control al schimbărilor de urgenţă. 
Natura schimbărilor de urgenţă se reflectă în timpul necesar efectuării şi testării schimbării. 
Auditorul va verifica dacă aceste proceduri sunt rezonabile şi includ forme de control suficiente şi 
adecvate. 
Având în vedere că acest tip de schimbări se realizează sub presiune, trebuie avute în vedere riscurile 
generate care sunt majore în astfel de cazuri. 


Controlul versiunilor 


Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul că operează 
asupra versiunii de program corecte. Creşterea gradului de distribuire a sistemelor implică o dificultate 
crescută a gestiunii versiunilor, ceea ce implică necesitatea implementării unor proceduri de control al 
versiunilor. 


Pe baza acestor premise, managementul schimbării şi al dezvoltării sistemului se poate sintetiza după 
cum se descrie în continuare: 

Dezvoltatorii de software utilizează pe scară largă instrumente automate de control al versiunilor pentru a 
înregistra schimbările succesive efectuate asupra programelor sursă. 


Managementul schimbării şi al dezvoltării sistemului are ca obiectiv important implementarea unor 
politici, proceduri şi controale în scopul asigurării că sistemele sunt disponibile când sunt necesare, 
funcţionează conform cerinţelor, sunt fiabile, controlabile şi necostisitoare, au un control sigur al integrităţii 
datelor şi satisfac nevoile utilizatorilor. 
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Politicile implementate privind schimbarea sau dezvoltarea sistemului se referă la următoarele aspecte: 


e Managementul schimbării proceselor afacerii. Procedurile şi controalele cele mai 
relevante se referă la următoarele aspecte: iniţierea modificării sau dezvoltării sistemului IT, 
alocarea corectă a investiţiilor în hardware, software şi servicii IT, asigurarea că se realizează 
armonizarea necesităţilor afacerii cu schimbările IT, documentarea procedurilor şi a 
activităţilor (formular pentru cereri, evidenţa modificărilor efectuate) şi competențele de 
aprobare. 


e Implementarea controalelor privind managementul schimbărilor tehnice se referă la modul 
în care se gestionează schimbările tehnice parţiale sau integrale ale sistemului informatic: 
integrarea de componente noi, înlocuirea unor componente, schimbarea versiunii sistemului 
etc., precum şi asupra procedurilor de implementare a schimbărilor tehnice în mediul de test, 
de producţie, de dezvoltare sau de implementare a modificărilor solicitate în regim de 
urgenţă. 

e Metodologia de dezvoltare constituie un element esenţial pentru succesul implementării 
schimbărilor tehnice întrucât oferă suportul procedural pentru procesele de dezvoltare a siste- 
mului informatic şi un cadru standardizat pentru implementarea componentelor informatice. 
Procedurile trebuie să se aplice într-un mod consistent tuturor proiectelor de dezvoltare, 
având ataşate şi cazuri predefinite de testare. Lipsa unei metodologii de dezvoltare a 
proiectelor implică un risc ridicat asupra sistemului. 


e În ceea ce priveşte managementul proiectelor este necesară implementarea unor proceduri 
şi controale privind: metodologia de management al proiectelor utilizată, existenţa proce- 
durilor specifice proiectelor IT, monitorizarea periodică a stadiului proiectelor IT. Lipsa 
acestora generează riscuri pe toată durata de viata a proiectului. 


e Implicarea utilizatorilor în etapele procesului de dezvoltare a proiectului, în funcţie de 
nivelul profesional al acestora, poate genera de asemenea riscuri privind: specificarea 
cerinţelor, testarea programelor, acceptarea sistemului, instruirea personalului, elaborarea 
documentaţiei etc.. 


e Managementul calităţii are un impact semnificativ asupra componentelor informatice 
dezvoltate, asupra sistemului în general si, implicit, asupra activităţii entității. 

e  Documentarea procedurilor şi a funcţionării sistemului este esenţială atât pentru facilitatea 
operării de către utilizatori la nivel de aplicaţie, cât şi pentru asigurarea functionalitatii la nivel 
de sistem. Existenţa manualelor de utilizare reprezintă o cerinţă minimală. 


Utilizarea unor proceduri inadecvate de control al modificărilor poate creşte riscul ca sistemul să nu 
proceseze corect tranzacţiile financiare. Fără o testare adecvată, atât conducerea entității, cât şi auditorii 
au o asigurare slabă că sistemul va efectua ceea ce s-a intenţionat. Implicarea neadecvata a utilizatorilor 
creşte riscul ca informaţiile rezultate din aplicaţii să nu corespundă cu realitatea. Documentaţia 
neadecvată face ca sistemul să fie dificil de întreţinut. Fără standarde adecvate, poate fi dificil să se 
respecte documentaţia. 


O documentare bună a schimbărilor poate ajuta la identificarea erorilor sistemului. Utilizarea meto- 
dologiilor standard de proiectare reduce riscul ca un sistem nou să nu corespundă cerinţelor utilizatorului. 
Modificările de urgenţă care nu au fost aprobate pot cauza probleme neprevăzute în alte zone ale 
sistemului informatic. 


Existenţa unor controale neadecvate poate conduce la utilizarea în mediul de producţie a unor programe 
neautorizate. Modificările neautorizate în sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de 
asemenea să afecteze disponibilitatea sistemelor şi pot deforma datele financiare. Utilizarea neautorizată 
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a unor facilităţi poate fi utilizată pentru a ocoli procedurile de management al modificărilor stabilite şi 
favorizează dezvoltarea de aplicaţii neautorizate. 


Auditorul va examina următoarele aspecte: 


e Politicile şi procedurile de autorizare existente pentru modificarea aplicaţiilor financiare: cine 
autorizează modificările, dacă se folosesc studii de fezabilitate pentru a determina impactul 
potenţial al modificărilor, cum este monitorizată şi analizată derularea proiectului de către 
conducere, reacţiile generate, metodologii şi instrumente standard de dezvoltare adoptate, 
documentatii referitoare la modificare, analiza post-modificare; 

e În ce măsură sunt testate actualizările sistemului şi ale aplicaţiei înainte de transferul în mediul 
operaţional (de producţie); 

e Daca procedurile de testare sunt adecvate, independente şi documentate; 

e Implicarea utilizatorilor în testarea dezvoltării, achiziţiei şi receptiei sistemelor informatice; 

e Daca evidenţele modificărilor sunt la zi, cuprinzătoare şi complete; 


e Dacă manualele de utilizare sunt actualizate şi este disponibilă cea mai recentă versiune a 
documentaţiei; 


e Efectuarea modificărilor de urgență; 


e Controale existente pentru a asigura că numai modificările autorizate sunt transferate din mediul 
de testare în mediul de producţie; 

e Modul de tratare a deficienţele de funcţionare a software-ului şi a problemelor utilizatorilor (funcţie 
help-desk, statistici help-desk disponibile, rezolvarea practică a incidentelor); 


e Controale pentru prevenirea accesului persoanelor neautorizate la programele din biblioteca 
sursa de programe pentru a face modificări. 


PROCEDURA B8 - Auditul intern IT 


Responsabilitatea managementului privind implementarea sistemului de controale interne se reflectă în 
politicile şi procedurile implementate. Asigurarea că sistemul de controale este implementat 
corespunzător şi reduce în mod rezonabil riscurile identificate este furnizată de auditorii interni care 
examinează politicile, procedurile şi controalele implementate şi efectele funcţionării acestora asupra 
activităţii entității. 

Auditorii externi privesc funcţia de audit intern a entității ca fiind o parte din structura generală de control a 
acesteia, o evaluează şi formulează o opinie privind încrederea în activitatea auditului intern. 


De asemenea, auditorii externi evaluează dacă personalul din structura de audit intern este capabil să 
efectueze evaluări competente ale sistemului de calcul al entității, dacă utilizează metodologii sau 
standarde de audit IT adecvate. 


Structura mediului de control IT al unei entităţi conţine controale specifice IT care se referă la următoarele 
categorii de elemente: 
e Mediul controalelor generale: include controalele asociate politicilor de nivel înalt, valorilor 
etice, culturii afacerii şi resurselor umane. 
e Evaluarea riscurilor. presupune evaluarea amenințărilor, vulnerabilitatilor si a impactului 
acestora asupra afacerii. 
e Informaţie şi comunicaţii. constau în controale care permit personalului să primească şi 
să controleze informaţiile legate de afacere. 


Pag. 184 din 214 


e Activități de control: asigură că afacerea continuă să opereze în maniera asteptata de 
managementul de vârf. 


e Monitorizare: asigură că politicile şi procedurile continuă să funcţioneze şi sunt adecvate. 


Auditul intern trebuie să se concentreze asupra existenţei şi eficacitatii controalelor specializate IT pentru 
toate categoriile menţionate mai sus, în concordanţă cu specificul activităţii şi în scopul evitării expunerii 
afacerii la riscuri nejustificate. 

Specializarea unor auditori în domeniul auditului IT şi utilizarea unor metodologii adecvate sau includerea 
unor experţi în domeniu în echipa de audit, în situaţii în care se justifică prezenţa acestora, reprezintă o 
cerință pentru evaluarea unor sisteme informatice complexe. 


În funcţie de stadiul în care acţionează, există trei categorii de controale: 


e Controale preventive — proiectate pentru a preveni producerea de erori, omisiuni sau acţiuni rau 
intenţionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul în sistem. 


e Controale de detectare — proiectate pentru a detecta erori, omisiuni sau acţiuni rău intenţionate 
care au loc şi pentru a raporta apariţia acestora. Un exemplu de control detectiv este menţinerea 
jurnalelor de operaţii ale sistemului şi ale aplicaţiilor. 


e Controale corective — proiectate pentru a reduce impactul sau pentru a corecta erorile odată ce 
au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control 
corectiv. 


4.4.3 Analiza controalelor aplicaţiei şi evaluarea riscurilor asociate 


Sectiunile următoare se referă la problematica specifică aplicaţiilor informatice financiar-contabile, din 
perspectiva auditului. 


Scop: Să consolideze cunoştinţele privind sistemul informatic al clientului, obţinute prin evaluarea 
controalelor generale aferente mediului informatizat, să permită auditorului financiar să identifice, să 
documenteze şi să evalueze orice proceduri şi controale care operează în cadrul fiecărei aplicaţii 
financiare, să permită auditorului să evalueze nivelul general al riscului de audit asociat fiecărei aplicaţii şi 
să identifice riscurile specifice care pot influenţa realizarea conformităţii şi riscurile asociate programelor 
informatice. 


Cele mai importante obiective de control specifice aplicatiilor®? sunt: 


1. Pregătirea şi autorizarea surselor de date: asigură faptul că documentele sursă sunt pregătite de 
personal autorizat şi calificat, folosind proceduri anterior stabilite, demonstrând o separare adecvată a 
îndatoririlor cu privire la generarea şi aprobarea acestor documente. Erorile şi omisiunile pot fi minimizate 
printr-o bună proiectare a intrărilor. Detectează erorile şi neregulile spre a fi raportate şi corectate. 

2. Colectarea surselor de date si introducerea în sistem: stabileşte faptul că intrările (datele de intrare) au 
loc la timp, fiind făcute de către personal autorizat şi calificat. Corectarea şi retrimiterea datelor care au 
intrat în sistem în mod eronat trebuie să aibă loc fără a trece peste nivelurile iniţiale de autorizare privind 
tranzacţiile (intrările). Când este nevoie să se reconstituie intrarea, trebuie reţinută sursa iniţială pentru o 
perioadă suficientă de timp. 

3. Verificări privind: acurateţea, completitudinea şi autenticitatea: asigură faptul că tranzacţiile sunt precise 
(exacte), complete şi valabile. Validează datele introduse şi le editează sau le trimite înapoi spre a fi 
corectate cât mai aproape posibil de punctul de provenienţă. 
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4. Integritatea şi validitatea procesului: menţine integritatea şi validitatea datelor de-a lungul ciclului de 
procesare. Detectarea tranzacţiilor compromise din punct de vedere al erorilor nu întrerupe procesarea 
tranzacţiilor valide. 

5. Revizuirea rezultatelor, reconcilierea şi tratarea erorilor: stabileşte procedurile si responsabilitatile 
asociate pentru a asigura că rezultatul este utilizat într-o manieră autorizată, distribuit destinatarului 
potrivit şi protejat în timpul transmiterii sale, precum şi faptul că se produc: verificarea, detectarea şi 
corectarea exactitatii rezultatului şi că informaţia oferită în rezultatul procesării este utilizată. 

6. Autentificarea şi integritatea tranzacţiilor: înainte de a transmite datele tranzacţiei de la aplicaţiile 
interne către funcţiile operaţionale ale afacerii (sau către exteriorul organizaţiei), trebuie verificate: desti- 
naţia, autenticitatea sursei şi integritatea conţinutului. Menţine autenticitatea şi integritatea transmiterii sau 
ale transportului. 

Pentru evaluarea controalelor de aplicaţie se utilizează Lista de verificare privind evaluarea controalelor 
de aplicaţie. 

Aspectele teoretice referitoare la evaluarea riscurilor au fost tratate în detaliu în Capitolul 3. Pentru 
evaluarea riscurilor se utilizează Lista de verificare privind evaluarea riscurilor. 


PROCEDURA CA1 - Înțelegerea sistemului informatic financiar - contabil 


Auditorul trebuie să înțeleagă toate etapele pe care le parcurg tranzacţiile, de la iniţiere şi până la 
reflectarea lor în situaţiile financiare. În foarte multe cazuri, când activitatea este parţial informatizată, 
aplicaţiile informatice reflectă parţial fluxul unei tranzacţii, prelucrarea fiind completată prin proceduri 
manuale. În acest context, auditorul este cel care trebuie să reconstituie parcursul tranzacţiei, de la 
iniţiere până la includerea în situaţiile financiare. 


În cadrul evaluării aplicaţiilor, auditorul trebuie să identifice toate echipamentele informatice asociate 
mediului IT implicate în introducerea, prelucrarea, stocarea sau producerea rezultatelor de ieşire aferente 
sistemului informatic financiar-contabil (SIFC). De asemenea, va identifica toate aplicaţiile IT care 
contribuie la obţinerea situaţiilor financiare. 


Pentru fiecare aplicaţie financiară auditorul trebuie să prezinte în documentele de lucru, sub forma de 
schemă logică sau descriptivă, următoarele elemente: 


e interfețele dintre operaţiile manuale şi operaţiile informatizate; 

e echipamentele şi aplicaţiile informatice care contribuie la obţinerea situaţiilor financiare 
verificate; 

+ valoarea şi volumul tranzacţiilor procesate de fiecare aplicaţie; 

+ modulele de introducere, prelucrare, ieşire şi stocare ale aplicaţiilor relevante; 

e fluxul tranzacţiilor de la iniţierea tranzacţiei pana la reflectarea acestora în situaţiile financiare. 


Creşterea gradului de complexitate a sistemelor informatice prin integrarea aplicaţiilor la nivelul sistemului 
informatic al entității, permite procesarea mai multor tipuri de tranzacţii, provenind din aplicaţii diferite: 
aplicaţii care procesează tranzacţii privind veniturile, tranzacţii de cheltuieli, state de plată lunare, evidenţa 
stocurilor, costul lucrărilor şi activele fixe şi altele. Este deci posibil ca o aplicaţie să proceseze tranzacţii 
din zone contabile diferite. 


La definirea zonelor contabile, auditorul va trebui să identifice fluxul principal de tranzacţii din fiecare 
aplicaţie şi să reconstituie parcursul prelucrării în funcţie de aplicaţia analizată. De asemenea, trebuie să 
detecteze şi să reconstituie fluxurile care apar în situaţia transferului de informaţii între aplicaţii. 


Auditorul trebuie să evalueze riscul de audit în cadrul fiecărui proces, utilizând următorii trei factori: 
(a) amenințările la adresa integrităţii şi disponibilităţii informaţiilor financiare; 
(b) vulnerabilitatea informaţiilor financiare la amenințările identificate; 
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(c) impactul posibil în ceea ce priveşte obiectivele auditului. 


Auditorul va colecta informaţii referitoare la aplicaţia financiar-contabilă: descrierea aplicaţiei, funcţiile pe 
care le realizează aplicaţia, arhitectura aplicaţiei (platforma hardware / software, produsele software de tip 
instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaţie), proprietarul aplicaţiei, 
administratorul aplicaţiei, numărul utilizatorilor aplicaţiei şi cine sunt aceştia, volumul şi valoarea 
tranzacţiilor procesate lunar de aplicaţia financiar-contabilă, puncte slabe sau probleme cunoscute. 


PROCEDURA CA2 - Posibilitatea de efectuare a auditului 


Posibilitatea efectuării auditului pe baza sistemului informatic financiar-contabil depinde de posibilitatea 
colectării unor probe suficiente şi competente, pentru efectuarea auditului. 


În cazul în care situaţiile financiare au fost produse de un sistem informatic, trebuie să fie îndeplinite 
următoarele condiţii: 


e evidențele tranzacţiilor să fie stocate şi să fie complete pentru întreaga perioadă de raportare; 
+ evidențierea unei tranzacţii să conţină suficiente informaţii pentru a stabili un parcurs de audit; 
e  totalurile tranzacţiilor să se regăsească în situaţiile financiare. 


Dacă oricare din aceste criterii nu primeşte un răspuns afirmativ, auditorul trebuie să decidă dacă sistemul 
informatic oferă încredere în situaţiile financiare generate de acest sistem. În condiţiile în care concluzia 
auditorului este că nu poate avea încredere în sistemul informatic, auditorul trebuie să analizeze ce 
măsuri trebuie luate pentru a continua misiunea de audit financiar. 


Auditorul trebuie să constate dacă există evidențe contabile alternative manuale şi dacă este posibil să se 
efectueze auditul pe baza acestora (pe lângă sistemul informatic). 


PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator 
(CAAT) 


Utilizarea tehnicilor de auditare asistată de calculator, ca instrumente de auditare, acoperă, în principal, 
procesele şi activităţile prezentate în continuare: 

a) Gestionarea documentelor de lucru electronice; 

b) Regăsirea şi analiza informaţiei; 

c) Estimarea riscurilor generate de utilizarea tehnicilor de auditare asistată de calculator; 

d) Detectarea fraudei; 

e) Securitatea şi performanţa reţelei de calculatoare; 

f) Securitatea în reţeaua Internet; 

9) Monitorizarea continuă; 

h) Raportarea auditului. 


Tehnicile de auditare asistată de calculator utilizate cel mai frecvent în auditul financiar se împart în două 
categorii: 
(a) tehnici pentru regăsirea datelor 

e prin interogarea fişierelor de date; 

e prin utilizarea unor module de audit incluse în sistemul informatic auditat. 


(b) tehnici pentru verificarea controalelor sistemului 
e utilizarea datelor de test; 
e utilizarea facilitatilor de testare integrate; 
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e simulare paralelă; 
e compararea codului programului; 
e revizuirea codului programului. 


În ambele cazuri se pun următoarele probleme: (1)- identificarea informaţiilor care vor fi necesare pentru 
prelucrare în scopul obţinerii probelor de audit, (2)- obţinerea datelor într-un format adecvat pentru a fi 
prelucrate, (3)- stocarea datelor într-o structură care să permită prelucrările impuse de necesităţile 
auditului. 


Utilizarea tehnicilor de auditare asistată de calculator presupune: 


e cunoaşterea scopului care trebuie atins; 


e înțelegerea modului in care operează sistemul [identificarea fişierelor care contin datele de 
interes şi a structurii acestora); 


e cunoaşterea structurii înregistrărilor, pentru a le putea descrie în programul de interogare; 
e formularea interogărilor asupra fişierelor / bazelor de date; 
e cunoaşterea modului de operare a sistemului; 


e determinarea criteriilor de selecţie a înregistrărilor în funcţie de metoda de eşantionare şi de 
tipurile de prelucrări; 


e interogarea sistemului şi obţinerea probelor de audit. 


In permanenţă trebuie obținută asigurarea privind versiunea de programe utilizată şi corectitudinea 
surselor de date. De asemenea, trebuie adoptată cea mai adecvată formă de prezentare a rezultatelor. 


In scopul utilizării adecvate a informaţiilor supuse analizei de către programul de auditare asistată de 
calculator selectat, al asigurării accesibilitatii pentru auditor şi al asigurării compatibilitatii cu configuraţia 
hardware utilizată de auditor, este necesară specificarea formatelor fişierelor de date şi a metodei 
(structurii) de memorare. 


Datele trebuie să fie furnizate într-o formă care să permită utilizarea lor în mod direct de către programul 
de auditare asistată de calculator sau într-un format standard compatibil cu versiunea sofware utilizată de 
auditor (fişiere Windows, Lotus, Excel, Dbase, text cu separatori etc.); 


Datele trebuie să fie furnizate în format electronic, pentru a permite importul direct în baza de date a 
auditorului, pe suport magnetic, optic sau prin reţea (Internet, intranet). In toate cazurile trebuie analizate 
implicaţiile infectării cu viruşi. 

Implementarea auditului bazat pe calculator sau asistat de calculator constituie o etapă deosebit de 
importantă, în care se pot automatiza integral sau parţial o serie de activităţi între care: managementul 
proiectului, colectarea datelor, elaborarea de statistici, elaborarea de proceduri de eşantionare, evaluare 
şi testare, elaborarea documentelor de lucru (machete, chestionare, liste de verificare), redactarea 
raportului de audit, analiza. 


Utilizarea programelor software pentru auditare proiectate special pentru acest scop permite 
auditorilor să interogheze surse de date ale entității auditate, să opereze prelucrări cu ajutorul 
instrumentelor asociate şi să prezinte rezultatele în formatele dorite de auditor. 


In cazul auditului financiar, sunt oferite facilităţi specifice pentru prelucrarea şi analiza unor colecţii mari de 
date, prin efectuarea unor teste şi utilizarea unor proceduri adecvate, cum ar fi: 
e Teste ale detaliilor tranzacţiilor şi soldurilor (recalcularea dobânzii, extragerea din înregistrările 
bazei de date a entității a facturilor care depăşesc o anumită valoare sau dată calendaristică sau 
care îndeplinesc alte condiţii); 
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e Proceduri analitice (identificarea neconcordantelor sau a fluctuatiilor semnificative); 

e Teste ale controalelor generale (testarea setării sau a configurării sistemului de operare, 
verificarea faptului că versiunea programului folosit este versiunea aprobată de conducere); 

e Programe de esantionare pentru extragerea datelor în vederea efectuării testelor de audit; 

e Teste ale controalelor aplicaţiilor (testarea conformităţii aplicaţiei cu condiţiile impuse de legislaţia 
în vigoare); 

e Refacerea calculelor efectuate de sistemele contabile ale entității. 


Pentru a obține probe de audit de calitate şi pentru efectuarea unor prelucrări adiţionale, auditorul poate 
efectua investigații privind informaţiile generate de calculator, prin utilizarea tehnicilor de audit asistat de 
calculator, în particular, utilizarea programului IDEA. 

Acest mod de lucru contribuie la creşterea performanței în efectuarea testelor de fond, prin aplicarea unor 
proceduri analitice automatizate, precum şi a performanţei procedurilor de audit. 


Tehnicile de testare a datelor sunt folosite uneori pe parcursul unui audit prin introducerea de date (de 
exemplu, un eşantion de tranzacţii) într-un sistem informatic al unei entităţi şi compararea rezultatelor 
obţinute cu rezultatele predeterminate. 


Un auditor poate folosi testarea datelor pentru: 

e verificarea controalelor specifice în sistemele informatice, cum ar fi controale de acces la date, 
parole; 

e prelucrarea tranzacţiilor selectate dintre cele prelucrate de sistemul informatic sau create de 
auditor pentru a testa facilităţile aplicaţiilor informatice ale entității, separat de datele procesate în 
mod obişnuit de entitate; 

e prelucrarea tranzacţiilor de test în timpul execuţiei normale a programului de prelucrare, de către 
auditorul integrat în sistem ca fiind un utilizator fictiv. In acest caz, tranzacţiile de test trebuie să 
fie eliminate ulterior din înregistrările contabile ale entității. 


PROCEDURA CA4 — Determinarea răspunderii 


Pentru a determina răspunderea utilizatorilor în ceea ce priveşte operaţiile efectuate asupra tranzacţiilor, 
sistemele informatice trebuie să fie capabile să identifice ce utilizator a efectuat o anumită operaţie şi 
când. Implementarea unor controale care identifică şi raportează acţiunile utilizatorilor şi înregistrează 
informaţiile într-un registru de audit, fac ca astfel de utilizatori sa fie mai reticenti în realizarea de operaţii 
neautorizate. 


Înregistrarea activităţilor utilizatorilor în registrul de audit este, prin ea însăşi, insuficientă pentru a reduce 
riscul realizării de activităţi neautorizate. Conducerea trebuie să examineze în mod regulat rapoartele de 
excepţii extrase din registrul de audit şi să ia măsuri de urmărire ori de câte ori sunt identificate 
discrepanțe. 


Registrele de audit sunt utile numai dacă nu pot fi modificate. Trebuie să existe controale adecvate pentru 
a asigura că personalul care introduce sau procesează tranzacţii nu poate să modifice şi înregistrările 
aferente activităţilor lor. Integritatea registrelor de audit poate fi asigurată prin criptarea datelor sau prin 
copierea registrului într-un director sau fişier protejat. 


Auditorul va verifica dacă există controale adecvate pentru a asigura că personalul care introduce sau 
procesează tranzacţii nu poate să modifice şi dacă sunt înregistrate activităţilor lor. 
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PROCEDURA CA5 - Evaluarea documentaţiei aplicaţiei 


O bună documentaţie a aplicaţiei reduce riscul comiterii de greşeli de către utilizatori sau al depăşirii 
atribuţiilor autorizate. Documentaţia trebuie să fie cuprinzătoare, actualizată la zi, pentru ca examinarea 
acesteia să ajute auditorul să obţină o înțelegere a modului în care funcţionează fiecare aplicaţie şi să 
identifice riscurile particulare de audit. Documentaţia trebuie să includă: 


+ prezentarea generală a sistemului; 

e  specificaţia cerinţelor utilizatorului, 

+ descrierea şilistingul programului sursă (după caz); 
+ descrierile intrărilor / ieşirilor; 

+ descrierea conţinutului fişierelor; 

e manualul utilizatorului; 

e instrucțiuni de operare. 


Auditorul va evalua dacă documentaţia aplicaţiei este adecvată, este cuprinzătoare şi actualizată, dacă 
personalul îndreptăţit are copii ale documentaţiei relevante sau acces la aceasta, dacă există instrucţiuni 
de lucru pentru procedurile zilnice şi pentru rezolvarea unor probleme frecvente, dacă se păstrează copii 
de rezervă ale documentaţiei aplicaţiei în scopul recuperării după dezastru şi al reluării rapide a 
procesării. 


PROCEDURA CA6 - Evaluarea securităţii aplicaţiei 


După evaluarea controalelor generale IT, auditorul va trebui să obţină o înţelegere a controalelor asupra 
accesului la calculatoarele pe care funcţionează aplicaţiile, în condiţiile în care utilizatorii selectează o 
aplicaţie anume. O analiză a securităţii aplicaţiei ia în considerare controalele de acces ca fiind o fază 
anterioară operării aplicaţiei şi vizează modul în care sunt controlati utilizatorii când accesează o anumită 
aplicaţie. De exemplu, tot personalul din departamentul finanţe va avea acces, prin controalele sistemului, 
la aplicaţia financiară online. Pentru controlul accesului la diferite categorii de informaţii (la registrul de 
vânzări, la registrul de cumpărări, la statele de plată etc.) se introduc controalele de aplicaţie suplimentare 
care reglementează drepturile de acces la fiecare categorie în parte. 


Auditorul va evalua protectiile fizice în vigoare pentru a preveni accesul neautorizat la aplicaţie sau la 
anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în aplicare a separării sarcinilor şi a 
respectării atribuţiilor. De asemenea, va evalua controalele existente în cadrul aplicaţiei pentru 
identificarea acţiunilor utilizatorilor individuali (utilizarea de identificări unice, jurnale de operaţii, utilizarea 
semnăturii electronice). 


Auditorul va testa controalele logice de acces utilizate pentru a restricționa accesul la aplicaţie sau la 
anumite funcţii ale acesteia pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor, 
precum şi controalele logice existente pentru restricționarea activităţii utilizatorilor după ce a fost obţinut 
accesul la o aplicaţie (de exemplu, meniuri restrictionate). 


PROCEDURA CA7 — Evaluarea controalelor privind introducerea datelor 


În vederea prelucrării, datele pot fi introduse într-o varietate de formate. Pe lângă informaţiile introduse 
direct de la tastatură, aplicaţiile informatice acceptă pe scară din ce în ce mai largă documente electronice 
provenind din prelucrări anterioare în alte sisteme sau create prin utilizarea dispozitivelor electronice de 
recunoaştere a caracterelor. Oricare formă de introducere a datelor ar fi utilizată, obiectivele generale ale 
controlului intrării rămân aceleaşi. Acestea trebuie să asigure că: 
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e toate tranzac 
e toate tranzac 
e toate tranzac 
e toate tranzac 


iile sunt introduse exact şi complet; 

iile sunt valabile; 

iile sunt autorizate; 

iile sunt înregistrate în perioada financiară corectă. 


ve ve ve ve 


Controalele fizice şi logice de acces trebuie să ofere asigurarea că numai tranzacţiile valabile sunt 
acceptate pentru introducere. 


Controalele fizice de acces includ mecanisme de acces protejate la uşile către biroul financiar şi 
terminalele calculatorului (închidere cu mecanisme de blocare sau cu cheia). 


Controalele logice de acces se referă la capacitatea sistemelor informatice de a identifica utilizatorii 
individuali şi de a raporta identitatea lor faţă de o listă predeterminată de funcţii pe care fiecare dintre 
aceştia este autorizat să le execute. 


După identificare şi autentificare, aplicaţia poate fi în măsură să controleze drepturile fiecărui utilizator. 
Aceasta se realizează pe baza profilului şi a drepturilor şi privilegiilor de acces necesare pentru fiecare 
utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator 
în registrul de vânzări şi ca atare acestuia îi va fi interzis să realizeze activităţi în registrul de cumpărări 
sau în orice alt modul din cadrul aplicaţiei. 


O asigurare suplimentară poate fi obţinută prin separarea sarcinilor impusă prin calculator. Utilizatorii pot 
avea un profil care să asigure că sistemul va procesa datele introduse numai după ce au fost autorizate 
de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie să fie suficient de detaliat 
pentru a asigura că un membru al personalului nu poate accesa sau procesa o tranzacţie financiară de la 
început la sfârşit. 


Asigurarea că introducerea datelor este completa poate fi obţinută prin gruparea tranzacţiilor pe loturi si 
verificarea numărului şi valorii tranzacţiilor introduse cu totalurile calculate independent. 


Dacă aplicaţiile nu utilizează controalele de lot pentru a introduce tranzacţii, auditorul trebuie să caute alte 
dovezi ale completitudinii. Se poate include o examinare a documentelor sursă pentru a se confirma că 
acestea au dat naştere datelor de intrare. 


Aplicațiile pot confirma validitatea intrării prin compararea datelor introduse, cu informaţii deja deţinute in 
sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a 
adreselor dintr-un registru de vânzări sau cumpărări implică introducerea numărului clădirii şi a codului 
poştal. Calculatorul va căuta adresa în fişierele sale şi apoi operatorul o compară cu adresa din 
documentele de intrare. 


Numerele de cont şi alte câmpuri cheie pot încorpora cifre de control. Cifrele de control sunt calculate prin 
aplicarea unui algoritm la conţinutul câmpului şi pot fi utilizate pentru a verifica dacă acel câmp a fost 
introdus corect. 


Câmpurile financiare pot face obiectul verificării unui set de date pentru a evita introducerea de sume 
neautorizate sau nerezonabile. Datele introduse care încalcă limitele prestabilite vor fi respinse şi 
evidenţiate într-un registru de audit. 


Utilizarea numerelor de ordine ale tranzacţiilor poate releva tranzacţiile lipsă, ajută la evitarea tranzacţiilor 
duble sau neautorizate şi asigură un parcurs de audit. 


Controalele precizate mai sus nu sunt valide în condiţiile în care este posibil ca acestea să fie ocolite prin 
acţiuni de introducere sau modificare a datelor, din afara aplicaţiei. 
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Auditorul trebuie să urmărească existenţa unor verificări automate ale aplicaţiei care să detecteze şi să 
raporteze orice modificări externe ale datelor, de exemplu modificări neautorizate efectuate de personalul 
de operare al calculatorului, direct în baza de date aferentă aplicaţiei. Auditorul trebuie să examineze şi 
rezultatele analizelor efectuate de sistem, pentru a se asigura că utilizarea facilitatilor de modificare ale 
sistemului, precum editoarele, este controlată corespunzător. 


Auditorul va evalua procedurile/controalele existente care să asigure că introducerea datelor este autorizată 
şi exactă, precum şi controalele care asigură că toate tranzacţiile valabile au fost introduse (verificări de 
completitudine şi exactitate), că există proceduri pentru tratarea tranzacţiilor respinse sau eronate. Va 
verifica acţiunile care se întreprind de către conducere pentru monitorizarea datelor de intrare. 


PROCEDURA CA8 — Evaluarea controalelor privind transmisia de date 


Sistemele informatice sunt conectate fie la reţeaua locală, fie la alte reţele externe (LAN sau WAN), care 
le permit să primească şi să transmită date de la calculatoare aflate la distanţă. Cele mai utilizate medii de 
transmitere a datelor includ liniile telefonice, cablurile coaxiale, unde infrarosii, fibre optice şi unde radio. 
Indiferent de mijloacele de transmisie utilizate, trebuie să existe controale adecvate care să asigure 
integritatea datelor tranzacţiei transmise. 


Aplicațiile care transmit informaţii prin reţele pot fi supuse următoarelor riscuri: 
+ datele pot fi interceptate şi modificate fie în cursul transmisiei, fie în cursul stocarii în site-uri 
intermediare; 
+ în fluxul tranzactiei se pot introduce date neautorizate utilizând conexiunile de comunicaţii; 
+ datele pot fi deformate în cursul transmisiei. 


Auditorul trebuie să se asigure că există controale care să prevină şi să detecteze introducerea de 
tranzacții neautorizate. Aceasta se poate realiza, de exemplu, prin controlul asupra proiectării şi stabilirii 
legăturilor de comunicaţii, sau prin ataşarea semnăturilor digitale la fiecare transmisie. 


integritatea datelor transmise poate fi compromisă datorită defectelor de comunicaţie. Auditorul trebuie sa 
se asigure că funcţionează controale adecvate, fie în cadrul rețelei, fie în aplicaţiile financiare, pentru 
detectarea datelor deformate. Este posibil ca protocolul de comunicaţii al reţelei, respectiv regulile 
predeterminate care determină formatul şi semnificaţia datelor transmise, să încorporeze facilităţi 
automate de detectie şi corecție. 


Având in vedere uşurinţa interceptării datelor transmise în reţelele locale sau în alte reţele externe, 
protecţia neadecvată a reţelei măreşte riscul modificării, ştergerii şi dublării neautorizate a datelor. Există 
un număr de controale care pot fi utilizate pentru a trata aceste probleme: 


e se pot utiliza semnături digitale pentru a verifica dacă tranzacţia provine de la un utilizator 
autorizat şi conţinutul tranzacţiei este intact; 

e se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea şi / sau modificarea 
tranzacţiilor interceptate; 

e  secvenţierea tranzacţiilor poate ajuta la prevenirea şi detectarea tranzacţiilor dublate sau 
şterse şi pot ajuta la identificarea tranzacţiilor neautorizate. 


Auditorul va evalua controalele implementate pentru asigurarea că transferul de date în reţea este atât 
complet cat şi exact (utilizarea semnăturii digitale, criptarea datelor, secventierea tranzacţiilor), precum şi 
metodele de identificare şi tratare a riscurilor asociate transferului de date în rețea (adoptate de 
organizaţie). 
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PROCEDURA CA9 — Evaluarea controalelor prelucrării 


Implementarea controalelor prelucrării trebuie să asigure că: 
+ procesarea tranzacţiilor este exactă; 
+ procesarea tranzacţiilor este completă; 
e tranzacţiile sunt unice (respectiv, nu sunt duplicate); 
+ toate tranzacțiile sunt valabile; 
+ procesele din calculator sunt auditabile. 


Controalele prelucrării în cadrul unei aplicaţii informatice trebuie să asigure că se utilizează numai date şi 
versiuni de program valabile, că procesarea este completă şi exactă şi că datele prelucrate au fost 
înscrise în fişierele corecte. 


Asigurarea că prelucrarea a fost completă şi exactă poate fi obţinută prin efectuarea unei comparații a 
totalurilor deduse din tranzacţiile introduse cu totalurile din fişierele de date menținute de calculator. 
Auditorul trebuie să se asigure că există controale pentru detectarea procesării incomplete sau inexacte a 
datelor de intrare. 


Procesele aplicaţiei pot să efectueze şi alte validări ale tranzacţiei, prin verificarea datelor cu privire la 
dublarea unor tranzacţii si la concordanța cu alte informaţii deţinute de alte componente ale sistemului. 
Procesul poate să verifice integritatea datelor pe care le păstrează prin utilizarea sumelor de verificare 
deduse din date. Scopul acestor controale este de a detecta modificările externe aduse datelor datorită 
anomaliilor sistemului sau a utilizării neautorizate a unor facilităţi de modificare ale sistemului, precum 
editoarele. 


Sistemele informatice financiar-contabile trebuie să menţină un registru al tranzacţiilor procesate. 
Registrul de tranzacţii, care poate fi denumit fişierul parcursului de audit, trebuie să conţină informaţii 
suficiente pentru a identifica sursa fiecărei tranzacţii şi fluxul de prelucrare al acesteia. 


În mediile care se prelucrează loturi de date, erorile detectate în cursul procesării trebuie să fie aduse la 
cunoştinţa utilizatorilor. Loturile respinse trebuie înregistrate şi înapoiate expeditorului. Sistemele online 
trebuie să încorporeze controale de monitorizare şi raportare a tranzacţiilor neprocesate sau neclare 
(precum facturi plătite parţial). Trebuie să existe proceduri care să permită conducerii să identifice şi să 
examineze toate tranzacţiile neclarificate peste un anumit termen. 


Aplicațiile trebuie sa fie proiectate pentru a face fata perturbaţiilor, precum cele cauzate de defecte de 
alimentare cu curent electric sau de echipament (salvarea stării curente în caz de incident). Sistemul 
trebuie sa fie capabil să identifice toate tranzacţiile incomplete şi să reia procesarea acestora de la 
punctul de întrerupere. 


Auditorul va evalua controalele existente care să asigure că toate tranzacţiile au fost procesate, pentru a 
reduce riscul de procesare a unor tranzacţii incomplete, eronate sau frauduloase, controalele existente 
care să asigure că sunt procesate fişierele corecte (controalele pot fi de natură fizică sau logică şi previn 
riscul de procesare necorespunzătoare a unor tranzacţii), precum şi existența controalelor care să 
asigure exactitatea procesării şi a controalelor pentru detectarea / prevenirea procesării duble. 

Se va verifica, de asemenea, modul în care aplicaţia şi personalul tratează erorile de procesare. 


PROCEDURA CA10 — Evaluarea controalelor privind datele de ieşire 


Implementarea controalelor datelor de ieşire trebuie să asigure că rezultatele furnizate de sistemul 
informatic îndeplinesc următoarele condiţii: 
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e sunt complete; 
e sunt exacte; 
e au fost distribuite corect. 


Pentru a obtine o asigurare ca avut loc o prelucrare completa si exacta, se implementeaza un mecanism 
de raportare a tuturor mesajelor de eroare detectate in cursul procesarii sau de furnizare a unor totaluri de 
control care sa se compare cu cele produse în cursul introducerii, pus la dispoziţia persoanelor 
responsabile cu introducerea şi autorizarea datelor tranzacţiei. Aceasta poate lua forma unui registru de 
operații. 


Completitudinea şi integritatea rapoartelor de ieşire depinde de restricționarea capacităţii de modificare a 
ieşirilor şi de încorporarea de verificări de completitudine, cum ar fi numerotarea paginilor, şi de 
prezentarea unor sume de verificare. 


Fişierele de ieşire trebuie să fie protejate pentru a reduce riscul modificărilor neautorizate. Motivatii 
posibile pentru modificarea datelor de ieşire includ acoperirea procesării neautorizate sau manipularea 
rezultatelor financiare nedorite. De exemplu, fişierele de ieşire neprotejate în cadrul unui sistem de plată a 
notelor de plată ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plată şi a 
detaliilor beneficiarului. O combinaţie de controale fizice şi logice poate fi utilizată pentru protejarea 
integrităţii datelor de ieşire. 


Datele de ieşire dintr-un sistem IT pot constitui date de intrare în alt sistem, înainte ca acestea să fie 
reflectate în situaţiile financiare; de exemplu, datele de ieşire dintr-un sistem care transferă statele de 
plată, ca date de intrare, în registrul general. Acolo unde se întâlneşte acest caz, auditorul trebuie să 
verifice existenţa controalelor care să asigure că datele de ieşire sunt transferate exact de la o fază de 
procesare la alta. Un alt exemplu ar fi în cazul în care datele de ieşire dintr-o balanţă de verificare sunt 
utilizate ca date de intrare într-un pachet de procesare de tabele care reformatează datele pentru a 
produce situaţiile financiare. 


Auditorul va verifica existența controalelor care să asigure că ieşirile de la calculator sunt stocate corect 
şi, atunci când sunt transmise, acestea ajung la destinaţie, va verifica existența controalelor 
corespunzătoare privind caracterul rezonabil, exactitatea şi completitudinea ieşirilor. 


PROCEDURA CA11 — Evaluarea controalelor privind fişierele de date 
permanente 


Implementarea controalelor privind fişierele de date permanente trebuie să ofere asigurarea că: 
e modificările aduse datelor sunt autorizate; 
e utilizatorii sunt răspunzători de modificări; 
e integritatea este păstrată. 


Controalele de acces, de identificare şi autentificare puternice, pot sta la baza asigurării că datele 
permanente sunt create, modificate, recuperate sau şterse numai de personal autorizat. Aceste controale 
sunt foarte eficiente atunci când sunt implementate în sistemul de operare, deoarece vor preîntâmpina 
utilizarea neautorizată a facilitatilor sistemului pentru a modifica datele în afara mediului de control al 
aplicaţiei. 


Fişierele de date permanente trebuie să fie protejate pentru a evita ca tranzacţii valabile să fie procesate 
incorect. De exemplu, modificarea unor detalii referitoare la furnizori poate conduce la situaţia ca o plata 
valabilă să fie efectuată unui beneficiar neautorizat. Controalele de acces trebuie să asigure că există o 
separare a sarcinilor între cei care păstrează datele permanente şi cei care introduc tranzacţii. Registrele 
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de audit trebuie să înregistreze informaţii, precum data şi ora la care s-a făcut modificarea, identificarea 
persoanei responsabile şi câmpurile de date afectate. Fişierele importante de date permanente trebuie să 
aibă copii de rezervă ori de câte ori se fac modificări importante. 


Aplicațiile care controlează permisiunile de acces ale utilizatorului stochează detalii ale acestor permisiuni 
în fişierele de date permanente. Aceste fişiere trebuie să fie protejate la modificări neautorizate. 
Conducerea trebuie să probeze că se realizează verificări independente, care să asigure că 
administratorul sistemului de control al accesului aplicaţiei nu abuzeaza de privilegiile sale. Organizațiile 
pot lista periodic conţinutul fişierelor de date permanente (de exemplu profilele de securitate ale 
utilizatorilor) pentru verificări operative. 


Auditorul va verifica existența controalelor si va testa controalele privind autorizarea accesului şi a 
modificărilor datelor permanente. 


PROCEDURA CA12 - Evaluarea conformităţii aplicaţiilor cu legislaţia în 
vigoare 


În cadrul entităţilor auditate, sistemele informatice care fac obiectul evaluării sunt utilizate ca suport pentru 
asistarea deciziei, constituind sisteme IT utilizate pentru evidenţa, prelucrarea şi obținerea de rezultate, 
situaţii operative şi sintetice la toate nivelele de raportare. 

Din acest motiv, o categorie specială de controale IT se referă la conformitatea sistemului informatic cu 
cerințele impuse de cadrul legislativ şi de reglementare. 


Cerinţele legislative şi de reglementare variază de la o tara la alta. Acestea includ: 
+ Legislația privind protecţia datelor private şi legislaţia privind protecţia datelor personale; 
+ Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalităţii informatice; 
+ Reglementări financiare şi bancare; 
+ Legile cu privire la proprietatea intelectuală. 


Respectarea reglementărilor în domeniu se referă la existenţa unor politici sau proceduri formale prin 
care se atribuie responsabilitatea monitorizării mediului legislativ care poate avea impact asupra 
sistemelor informatice, precum şi responsabilitatea asigurării conformităţii cu clauzele contractuale privind: 


+  Responsabilitatea asigurării că sistemul implementat este actualizat în conformitate cu 
ultima versiune furnizată; 

+ Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, 
documentaţie; 

e Livrarea şi instalarea configuratiilor hardware / software pe baza unui grafic, conform 
clauzelor contractuale, pe etape şi la termenele stabilite; 

+ Respectarea obligaţiilor privind instruirea şi suportul tehnic, stabilite prin contract; 

+ Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenței si 
valabilitatii licenţelor furnizate în cadrul contractului; 

+ Asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal; portalul poate 
avea secţiuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante 
de probleme/anomalii sau pentru instruirea continua a utilizatorilor; 

+ Existența unor proceduri scrise privind analiza şi acceptarea produselor şi serviciilor 
furnizate în cadrul contractului, precum şi recepţia cantitativă şi calitativă; 


e Furnizarea documentaţiei tehnice conform contractului: conţinutul (lista, numărul 
manualelor, limba) şi formatul (tipărit, în format electronic, on-line); 
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e Existenţa specificaţiilor funcţionale, a manualelor de utilizare şi administrare pentru 
proiectele de dezvoltare software; 
+ Existenţa manualelor de utilizare pentru echipamentele livrate. 


PROCEDURA CA13 - Efectuarea testelor de audit 


În etapa de studiu preliminar, auditorul trebuie să obţină o înţelegere suficientă a sistemului pentru a 
determina dacă sistemul de controale interne este de încredere şi furnizează informaţii corecte despre 
acurateţea înregistrărilor. În cazul în care sistemul de controale interne nu pare a fi suficient de robust, 
auditorul trebuie să testeze controalele pentru a evalua riscul asupra obiectivelor auditului. 

În acest scop, auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi bazate pe 
programe de test al conformităţii care conţin informaţii privind: descrierea controlului care va fi testat, 
proba de audit estimată pentru satisfacerea condiţiilor, teste extinse (inclusiv bazate pe eşantionare), 
descrierea funcţionării eronate a controlului, câte eşecuri pot fi tolerate. Probele de audit se colectează 
prin combinarea unor tehnici tradiţionale, cum ar fi observarea, interviul, examinarea şi eşantionarea, cu 
tehnici de auditare asistată de calculator. 


Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot sintetiza astfel: 


(a) Controalele IT nu furnizează un istoric al operării din cauza scufundării lor în corpul aplicaţiei şi, în 
consecinţă, nu furnizează probe de audit explicite. 

(b) Perioada de timp în care acţionează controalele de aplicaţie IT este limitată, acestea acţionând, în 
general, pe o durată foarte scurtă a ciclului de viaţă al tranzacţiei (de exemplu, pe durata introducerii 
datelor). 

(c) Rezervele auditorilor fata de controalele de aplicaţie IT datorate eventualitatii alterării acestora de 
către persoane interesate în inducerea în eroare a auditorului. 

(d) Rezervele auditorilor faţă de controlul preventiv asigurat, decurgând din natura controalelor IT, care nu 
prezintă garanţii privind funcţionarea corectă. 


Majoritatea întreprinderilor folosesc produse informatice pentru gestiune şi contabilitate. Ca urmare a 
cerinţelor impuse informaţiei contabile de către utilizatorii acesteia, produsele informatice trebuie să 
îndeplinească, la rândul lor, o serie de cerinţe specifice. In România există o multitudine de dezvoltări ale 
unor astfel de produse, care ar trebui să se raporteze la o serie de criterii şi cerințe minimale 
reglementate, în principal, prin norme metodologice ale Ministerului Finanţelor Publice. Aceste norme se 
referă în principal la următoarele aspecte: 


a) Pentru controlul intern 


) Actualizarile sistemului informatic în concordanţă cu modificările legislative; 

) Cunoaşterea funcţionării sistemului informatic de către utilizatori (personalul de operare); 
d) Accesul la date (confidentialitate, utilizare de parole de acces la date şi la sistem); 

) Opţiuni pentru alegerea tipului de suport magnetic pentru copiile de siguranţă; 
f) Posibilităţi de depistare şi rezolvare a erorilor. 


c) Pentru controlul extern 


) Posibilităţi de verificare completă sau prin sondaj a procedurilor de prelucrare; 
b) Posibilităţi de verificare completă sau prin sondaj a operaţiunilor înregistrate în contabilitate; 
) Posibilităţi de verificare completă sau prin sondaj a fluxului de prelucrări prin teste de control. 
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c) Criterii minimale pentru produsele informatice de gestiune şi contabilitate 


Concordanta cu legislaţia în vigoare; 

Precizarea tipului de suport care să asigure prelucrarea în siguranță a informaţiilor; 
Identificarea completă a fiecărei informaţii înregistrate; 

Respectarea criteriului cronologic in liste, cu imposibilitatea actualizarii ulterioare a listei; 
Transferul automat al soldurilor precedente pentru perioada curentă; 

Conservarea datelor (arhivarea) conform Legii contabilităţii nr. 82/1991; 

Posibilitatea restaurării datelor arhivate; 

Imposibilitatea actualizării datelor pentru perioadele de gestiune precedente; 


Preluarea informaţiilor esenţiale pentru identificarea operaţiunilor: dată, denumire jurnal, număr 
pagină sau număr înregistrare, număr document; 

Acces parolat; 

Identificarea în liste a unităţii patrimoniale, a paginării cronologice, a tipului de document, a 
perioadei de gestiune, a datei de listare şi a versiunii de produs progam; 

Listarea documentelor de sinteză necesare conducerii întreprinderii; 

Respectarea conţinutului informaţional pentru formularele cu regim special; 

Asigurarea concordantei între cartea mare a fiecărui cont şi jurnalul de înregistrare; 

Să respecte cerinţele de normalizare a bazelor de date cu privire la conturi şi documente; 

Să existe posibilitatea actualizării conturilor fără afectarea situaţiilor patrimoniale şi a celei de 
gestiune; 

Să existe documentaţie tehnică asociată caracteristicilor produselor program (mono / multi post, 
mono / multi societate, portabilitatea fişierelor, arhitectura de reţea, aplicaţii) care să permită 
utilizarea optimă a produselor informatice în cauză; 


Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control ulterior, în timp real 
cu control imediat, combinat); 


Să nu fie limitat volumul informaţiilor contabile; 
Să asigure securitatea datelor şi fiabilitatea; 
Să existe clauze de actualizare a procedurilor de prelucrare a informaţiilor financiar-contabile; 


Să asigure continuitatea sistemului în cazul încetării activităţii de dezvoltare software, inclusiv 
arhivarea şi restaurarea datelor; 


Să funcţioneze gestiunea versiunilor. 


Volumul de teste de control 


În ceea ce priveşte determinarea volumului de teste necesare pentru obținerea asigurării privind 
funcţionarea controalelor, auditorul îşi bazează decizia pe o combinaţie între raţionamentul profesional şi 
o modelare statistică pe care o poate efectua în acest scop. Dacă auditorul îşi propune să planifice ca 
testele de control sa se efectueze pe un număr mare de tranzacţii, atunci va aplica metoda esantionarii 
datelor şi va stabili dimensiunea eşantionului. 


Auditorul va efectua următoarele teste: 


Va verifica criteriile şi cerințe minimale reglementate, în principal, prin normele metodologice ale 
Ministerului Finanţelor Publice; 


Va verifica existenţa evidenţelor complete ale tranzacţiilor aferente aplicaţiei; 
Va evalua fezabilitatea colectării probelor de audit relevante şi suficiente; 
Va evalua dacă parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare; 
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Va evalua dacă aplicaţia este disponibilă atunci când este nevoie, funcţionează conform 
cerințelor, este fiabilă şi are implementate controale sigure asupra integrităţii datelor; 


Va detalia procedura de actualizare a aplicaţiei în concordanță cu modificările legislative; 


Va evalua aplicaţia din punct de vedere al gestionării resurselor informatice disponibile (date, 
funcţionalitate, tehnologii, facilităţi, resurse umane etc.); 

Va evalua cunoaşterea funcţionării aplicaţiei de către utilizatori, 

Va efectua teste de verificare a parametrilor şi funcţionalităţi aplicaţiei din punct de vedere 
operaţional şi al conformităţii cu legislaţia în vigoare; 

Va efectua teste de verificare la nivel de funcţie pentru procedurile critice din punctul de vedere al 
performanței (lansarea, derularea şi abandonarea procedurilor, accesul la informaţii în funcţie de 
perioada de înregistrare / raportare, restaurarea bazei de date); 


Se vor efectua teste privind corectitudinea încărcării / actualizării informaţiilor în baza de date. Se 
vor menţiona metodele de depistare şi rezolvare a erorilor. Se vor testa funcţiile de regăsire şi 
analiză a informaţiei; 

Va evalua interoperabilitatea aplicaţiei cu celelalte aplicaţii din sistemul informatic; 

Va evalua sistemul de raportare propriu aplicaţiei şi sistemul de raportare global, 

Se vor efectua teste privind modul de accesare a aplicaţiei la nivel de reţea, la nivelul staţiei de 
lucru şi la nivel de aplicaţie; 

Se vor testa funcţiile de conectare ca utilizator final şi de operare în timp real, pe tranzacţii de 
test; 

Se va evalua funcţionalitatea comunicării cu nivelele superioare şi inferioare; 

Se va analiza soluţia de gestionare a documentelor electronice; 

Se va efectua verificarea prin teste a protecţiilor aferente aplicaţiei. 


Această listă nu este exhaustivă. În funcţie de obiectivele auditului şi de specificul sistemului / aplicaţiei 
auditate, auditorul poate decide efectuarea şi a altor teste care pot furniza concluzii relevante pentru 
formularea unei opinii corecte. 


Pag. 198 din 214 


Capitolul 5. Liste de verificare, machete şi 
chestionare 


Pentru obţinerea probelor de audit se vor utiliza liste de verificare, machete şi, după caz, chestionare şi 
se vor realiza interviuri cu: persoane din conducerea instituţiei auditate, personalul de specialitate IT, 
utilizatori ai sistemelor/aplicatiilor. 


Machetele constituie suportul pentru colectarea informaţiilor cantitative referitoare la infrastructura IT. 
Acestea sunt transmise entității auditate, spre completare. 


În condiţiile în care se colectează informaţii care reflectă performanţa sistemului, se utilizează chestionare 
proiectate de auditor, pe baza cărora, în urma centralizării şi prelucrărilor statistice vor rezulta informaţii 
legate de satisfacția utilizatorilor, modernizarea activităţii, continuitatea serviciilor, creşterea calităţii 
activităţii ca urmare a informatizării şi altele. 


Machetele şi chestionarele completate vor fi semnate de conducerea entității şi predate echipei de audit. 
Machetele utilizate pentru colectarea datelor referitoare la infrastructura IT şi la personalul IT sunt 
următoarele: 

Macheta 1 - Bugetul privind investiţiile IT; 

Macheta 2 - Sisteme / aplicaţii utilizate; 

Macheta 3 - Evaluarea infrastructurilor hardware, software şi de comunicaţie; 

Macheta 4 - Informaţii privind personalul implicat în proiectele IT. 


Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste documente de 
lucru, respectiv listele de verificare, nu se pun la dispoziţia entității auditate. In timpul interviului, auditorul 
consemnează răspunsurile celui intervievat, precum şi comentarii personale şi alte constatări. 


Cele mai importante liste de verificare specifice auditului IT / 1S, sunt: 
Lista de verificare pentru evaluarea controalelor generale IT 
Lista de verificare pentru evaluarea riscurilor IT 
Lista de verificare privind evaluarea controalelor de aplicaţie (pentru sistemele informatice 
financiar-contabile) 
Lista de verificare pentru evaluarea site-urilor web 


Aceste liste de verificare sunt aplicabile pentru auditul în medii informatizate, în cadrul misiunilor de audit 
financiar sau de audit al performanţei, pentru evaluarea controalelor generale IT şi a riscurilor generate de 
funcţionarea sistemului informatic. În cazul misiunilor de audit financiar, care presupun evaluarea 
sistemului informatic financiar-contabil, pentru a formula o opinie privind încrederea în informaţiile 
furnizate de sistemul informatic auditorul public extern va utiliza lista de verificare pentru testarea 
controalelor IT specifice aplicaţiei financiar-contabile. 


În cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul funcţionării 
necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar. 


În cadrul entităţilor auditate, sistemele informatice care fac obiectul evaluării sunt utilizate ca suport pentru 
asistarea deciziei, constituind sisteme IT/IS utilizate pentru evidenţa, prelucrarea şi obţinerea de rezultate, 
situaţii operative şi sintetice la toate nivelele de raportare. Din acest motiv, o categorie specială de 
controale IT se referă la conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ şi de 
reglementare. 
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Cerinţele legislative şi de reglementare includ: 
e Legislaţia din domeniul finanţelor şi contabilităţii; 
e Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor personale; 
e Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii informatice; 
e Reglementări financiare şi bancare; 
e Legislația cu privire la proprietatea intelectuală. 


În cazul sistemelor complexe sau desfăşurate la scară naţională (de exemplu, Sistemul Electronic 
megeng se folosesc liste de verificare specializate elaborate în cadrul Curții de Conturi a României: 
Lista de verificare pentru evaluarea guvernării IT, personalizată pentru sistemele de tip 
e-guvernare; 
- Lista de verificare pentru evaluarea portalului web; 
- Lista de evaluare a perimetrului de securitate; 
- Liste de verificare pentru evaluarea serviciilor electronice; 
Liste de verificare pentru evaluarea cadrului de interoperabilitate, 
precum şi alte liste de verificare a căror necesitate decurge din obiectivele auditului. 


Auditul performanţei implementării şi utilizării sistemelor informatice va lua în considerare următoarele 
aspecte: 

e Modul in care funcţionarea sistemului contribuie la modernizarea activităţii entității; 

+ Modul în care managementul adecvat al configuraţiilor IT contribuie la creşterea valorii adăugate 
prin utilizarea sistemului informatic, reflectat în economii privind costurile de achiziţie şi creşterea 
calităţii serviciilor; 

+ Creşterea semnificativă a productivităţii unor activităţi de rutină foarte mari consumatoare de timp 
şi resurse, care, transpuse în proceduri electronice (tehnoredactare, redactarea automată a 
documentelor, căutări în arhive electronice, reutilizarea unor informaţii, accesarea pachetelor 
software legislative), se materializează în reduceri de costuri cu aceste activităţi; 

+  Scurtarea timpului de prelucrare prin reducerea numărului de erori şi evitarea reluării unor 
proceduri pentru remedierea acestora; 

+ Eliminarea paralelismelor şi integrarea proceselor care se reflectă în eficientizarea activităţii prin 
eliminarea redundantelor; 

+ Scăderea costurilor serviciilor, creşterea disponibilitatii acestora şi scăderea timpului de răspuns; 

e Creşterea gradului de instruire a personalului în utilizarea noilor tehnologii şi dezvoltarea de noi 
aptitudini; 

+ Reducerea costurilor administrative. 

Pentru evaluarea gradului în care implementarea şi utilizarea sisemului informatic a produs efecte în 
planul modernizării activităţii, în creşterea calităţii serviciilor publice şi în ceea ce priveşte satisfacția 


utilizatorilor se pot proiecta şi utiliza chestionare prin intermediul cărora se vor colecta informaţii care să 
reflecte reacţiile actorilor implicaţi (management, funcţionari publici, utilizatori, personal IT, cetăţeni). 


Prezentarea conţinutului machetelor şi listelor de verificare pentru întreg fluxul aferent misiunii de audit va 
fi detaliată în ghidul asociat acestui manual. 


Pag. 200 din 214 


Glosar de termeni 


Acceptarea riscului - Decizie luată de management de acceptare a unui risc. 

Analiza riscului - Utilizarea sistematică a informaţiei pentru a identifica amenințările şi pentru a estima 
riscul. 

Aria de aplicabilitate a unui audit - Domeniul acoperit de procedurile de audit care, în baza 
rationamentului auditorului şi a Standardelor Internationale de Audit, sunt considerate ca proceduri 
adecvate în împrejurările date pentru atingerea obiectivului unui audit. 

Asigurare rezonabilă (în contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu 
absolut, reflectat în raportul auditorului ca fiind o asigurare rezonabilă cu privire la faptul că informaţiile 
auditate nu conţin greşeli semnificative. 

Audit extern — Un audit efectuat de un auditor extern. 

Autenticitate — Proprietate care determină că iniţiatorul unui mesaj, fişier etc. este în mod real cel care se 
pretinde a fi. 

Audit online - Auditare prin consultarea online a bazelor de date ale entităţilor auditate, aflate la distanţă. 
Audit continuu - Tip de auditare în care auditorul are acces permanent la sistemul informatic al entității 
auditate, diferenţa de timp între momentul producerii evenimentelor urmărite de auditor şi obţinerea 
probelor de audit fiind foarte mică. 

Autentificare — Actul care determină că un mesaj nu a fost schimbat de la momentul emiterii din punctul 
de origine. Un proces care verifică identitatea pretinsă de un individ. 


Autoritate de certificare — O organizaţie investită pentru a garanta autenticitatea unei chei publice (PKI). 
Autoritatea de certificare criptează certificatul digital. 

Backup - O copie (de exemplu, a unui program software, a unui disc întreg sau a unor date) efectuată fie 
în scopuri de arhivare, fie pentru salvarea fişierelor valoroase pentru a evita pierderea, deteriorarea sau 
distrugerea informaţiilor. Este o copie de siguranță. 


Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor să navigheze pe Web. 
Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla. 

BSI (British Standards Institution) — Instituţia care a publicat standardele nationale britanice care au 
constituit baza evoluţiei standardelor ISO 9001 (BS5750 — sisteme de management al calității) şi ISO 
17799 (BS 7799 — managementul securităţii informaţiei). 


CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care 
poate fi utilizat pentru interogarea, analiza şi extragerea de fişiere de date si pentru producerea de probe 
de tranzacţii pentru testele de detaliu. 

CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare 
profesională oferită de Information Systems Audit and Control Association (ISACA) (Asociaţia de Audit şi 
Control al Sistemelor Informatice). 

Cloud Computing (configuraţie de nori) - Stil de utilizare a calculatoarelor în care capabilitățile IT se 
oferă ca servicii distribuite şi permit utilizatorului să acceseze servicii bazate pe noile tehnologii, prin 
intermediul Internetului, fără a avea cunoştinţe, expertiză sau control privind infrastructura tehnologică 
suport a acestor servicii. 

Confidentialitate - Proprietate a informaţiei care asigură ca aceasta nu este făcută disponibilă sau 
dezvăluită persoanelor, entităţilor sau proceselor neautorizate. 

Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite 
proceselor cheie ale afacerii să continue operarea în urma unor căderi majore sau dezastre. 


Controale generale în sistemele informaţionale computerizate - Politici şi proceduri care se referă la 
sistemele informatice şi care susţin funcţionarea eficientă a controalelor aplicaţiilor contribuind astfel la 
asigurarea unei functionari adecvate si continue a sistemelor informatice. Controalele informatice 
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generale includ, în mod obişnuit, controale asupra securităţii accesului la date şi rețele, precum şi asupra 
achiziţiei, întreţinerii şi dezvoltării sistemelor informatice. 

Controlul accesului - Proceduri proiectate să restrictioneze accesul la echipamente, programe şi datele 
asociate. Controlul accesului constă în autentificarea utilizatorului şi autorizarea utilizatorului. 
Autentificarea utilizatorului se realizează, în general, prin intermediul unui nume de utilizator unic, al unei 
parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se referă la regulile de acces 
pentru a determina resursele informatice la care poate avea acces fiecare utilizator. 

Control intern - Procesul proiectat şi efectuat de cei care sunt însărcinaţi cu guvernarea, de către 
conducere şi de alte categorii de personal, pentru a oferi o asigurare rezonabilă în legătură cu atingerea 
obiectivelor entității cu privire la credibilitatea raportării financiare, la eficacitatea şi eficienţa operaţiilor şi 
la respectarea legilor şi reglementărilor aplicabile. Controlul intern este compus din următoarele elemente: 
(a) Mediul de control; (b) Procesul de evaluare a riscurilor entității; (c) Sistemul informatic, inclusiv 
procesele de afaceri aferente, relevante pentru raportarea financiară şi comunicare; (d) Activităţile de 
control; şi (e) Monitorizarea controalelor. 

Controale de aplicaţie în sistemele informatice - Proceduri manuale sau automate care operează de 
obicei la nivelul proceselor întreprinderii. Controalele de aplicaţie pot fi de natură preventivă sau de 
detectare şi sunt proiectate să asigure integritatea informaţiilor. În mare parte, controalele de aplicaţie se 
referă la procedurile folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile sau alte date 
financiare. 

Controlul dezvoltării programelor - Proceduri menite să prevină sau să detecteze modificările 
inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online. 
Accesul poate fi restricţionat prin controale cum ar fi folosirea unor programe operaţionale separate sau a 
unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca 
modificările efectuate online asupra programelor să fie documentate, controlate şi monitorizate în mod 
adecvat. 

CRAMM (The CCTA Risk Analysis and Management Method) - Metodă de management şi analiză a 
riscului - este o metodă structurată pentru identificarea şi justificarea măsurilor de protecţie care vizează 
asigurarea unui nivel adecvat de securitate în cadrul sistemelor IT. 

Criptare (criptografie) - Procesul de transformare a programelor şi informaţiilor într-o formă care nu 
poate fi înțeleasă fără accesul la algoritmi specifici de decodificare (chei criptografice). 

Certificat digital - Conţine semnături digitale şi alte informaţii care confirmă identitatea părţilor implicate 
într-o tranzacţie electronică, inclusiv cheia publică. 

Declaraţie de aplicabilitate - Declaraţie documentată care descrie obiectivele de control şi măsurile de 
securitate care sunt relevante şi aplicabile SMSI al organizaţiei. Obiectivele de control şi măsurile sunt 
bazate pe rezultatele şi concluziile analizei de risc şi pe procesele de tratare a riscului, cerinţe legale sau 
de reglementare, obligaţii contractuale şi cerinţele afacerii organizaţiei pentru securitatea informaţiei. 
Determinarea riscului - Pprocesul global de analiză şi evaluare a riscului 

Disponibilitate - Capacitatea de a accesa un sistem, o resursă sau un fişier atunci cand este formulată o 
cerere în acest scop. Proprietatea informaţiei de a fi accesibilă şi utilizabilă la cerere de către o entitate 
autorizată 

Documentarea misiunii de audit - Înregistrarea procedurilor de audit aplicate, a probelor de audit 
relevante, precum şi a concluziilor la care a ajuns auditorul (termen cunoscut uneori şi ca „documente de 
lucru” sau „foi de lucru”). Documentaţia unei misiuni specifice este colectată într-un dosar de audit. 
Documentele de lucru - Materialele întocmite de auditor şi pentru uzul auditorului, sau obţinute şi 
păstrate de acesta, în corelaţie cu derularea auditului. Documentele de lucru pot fi pe suport de hârtie, pe 
film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor. 

e-audit - Tip de audit pentru care prezenţa fizică a auditorului nu este necesară la entitatea auditată, 
acesta având la dispoziţie toate informaţiile oferite de o infrastructură ITC pentru audit. 

EDI - Electronic Data Interchange este termenul generic pentru transmisia structurată a tranzacţiilor sau 
informaţiilor comerciale de la un sistem la altul. 
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e-guvernare - Schimbul online al informaţiei autorităţilor publice şi a guvernului cu, şi livrarea serviciilor 
către: cetăţeni, mediul de afaceri şi alte agenţii guvernamentale. 

Guvernarea electronică presupune furnizarea sau obţinerea de informaţii, servicii sau produse prin 
mijloace electronice către şi de la agenţii guvernamentale, în orice moment şi loc, oferind o valoare 
adăugată pentru părţile participante. 

e-sisteme - Sisteme bazate pe Internet şi tehnologii asociate care oferă servicii electronice cetăţenilor, 
mediului de afaceri şi administraţiei: e-government, e-health, e-commerce, e-learning etc. 

EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru 
a transfera fonduri dintr-un cont bancar în alt cont bancar utilizând echipamente electronice în locul 
mediilor pe hârtie. Sistemele uzuale EFT includ BACS (Bankers' Automated Clearing Services) şi CHAPS 
(Clearing House Automated Payment System). 

Esantionarea în audit - Aplicarea procedurilor de audit la mai putin de 100% din elementele din cadrul 
soldului unui cont sau al unei clase de tranzacţii, astfel încât toate unităţile de eşantionare să aibă o şansă 
de selectare. Aceasta îi va permite auditorului să obţină şi să evalueze probe de audit în legătură cu unele 
caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei 
concluzii în legătură cu populaţia din care este extras eşantionul. Eşantionarea în audit poate utiliza fie o 
abordare statistică, fie una nonstatistică. 

Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate în vederea 
stabilirii importanţei riscului. 

Eveniment de securitate a informaţiilor - situaţie identificată în legătură cu un sistem, un serviciu sau o 
rețea care indică o posibilă încălcare a politicii de securitate a informaţiilor, un eşec al măsurilor de 
protecţie sau o situaţie ignorată anterior, dar relevantă din punct de vedere al securităţii. 

Firewall - Combinatie de resurse informatice, echipamente sau programe care protejează o reţea sau un 
calculator personal de accesul neautorizat prin intermediul Internetului, precum şi împotriva introducerii 
unor programe sau date sau a oricăror alte programe de calculator neautorizate sau care produc daune. 
Frequently Asked Questions (FAQ) - Un termen care se referă la o lista de întrebări şi răspunsuri 
furnizată de companii referitoare la produsele de software, web site etc. 

Frauda - Act intenţionat întreprins de una sau mai multe persoane din cadrul conducerii, din partea celor 
însărcinaţi cu guvernarea, a angajaţilor sau a unor terţe parti, care implică folosirea unor înşelătorii pentru 
a obţine un avantaj ilegal sau injust. 

Gateway - Interconexiunea între două reţele cu protocoale de comunicare diferite. 

Guvernare (guvernare corporativă) - Descrie rolul persoanelor cărora le este încredinţată supervizarea, 
controlul şi conducerea unei entităţi. Cei însărcinaţi cu guvernarea sunt, în mod obişnuit, răspunzători 
pentru asigurarea îndeplinirii obiectivelor entității, pentru raportarea financiară şi raportarea către părţile 
interesate. În cadrul celor însărcinaţi cu guvernarea se include conducerea executivă doar atunci când 
aceasta îndeplineşte astfel de funcții. 

Guvernarea electronică - Schimbul online al informaţiei guvernului cu, şi livrarea serviciilor către: cetă- 
teni, mediul de afaceri şi alte agenţii guvernamentale (definiţie INTOSAI). 

HelpDesk - Punctul principal de contact sau interfaţa dintre serviciile sistemului informatic şi utilizatori. 
Help desk este punctul unde se colectează şi se rezolvă problemele utilizatorului. 

Home Page - Pagina prin care un utilizator intră în mod obişnuit pe un web site. Aceasta conţine şi 
legăturile (linkurile) cele mai importante către alte pagini ale acestui site. 

Hypertext - Un sistem de scriere şi de afişare a textului care permite ca textul să fie accesat în moduri 
multiple, să fie disponibil la mai multe nivele de detaliu şi care conţine legături la documente aflate în 
relaţie cu acesta. 

Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext 
(inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includă coduri care 
definesc font-ul, layout-ul, grafica inclusă şi link-urile de hypertext. 

Internet - Un ansamblu de calculatoare conectate în reţea (la scară mondială) care asigură servicii de 
ştiri, acces la fişiere, poşta electronică şi instrumente de căutare şi vizualizare a resurselor de pe Internet. 
Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet. 
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Incident - Un eveniment operaţional care nu face parte din funcţionarea standard a sistemului. 

Incident privind securitatea informaţiei - un eveniment sau o serie de evenimente de securitate a 
informaţiei care au o probabilitate semnificativă de a compromite activităţile organizaţiei şi de a aduce 
ameninţări la securitatea informaţiei. 

Integritate - Proprietatea de a păstra acurateţea şi deplinătatea resurselor. 

Instituţia Supremă de Audit - Organismul public al unui stat care, indiferent de modul în care este 
desemnat, constituit sau organizat în acest scop, exercită în virtutea legii cea mai înaltă funcţie de audit în 
acel stat. 

Intranet - Versiunea privată a Internetului, care permite persoanelor din cadrul unei organizaţii să 
efectueze schimburi de date, folosind instrumentele obişnuite ale Internetului, cum sunt browserele. 

Log (jurnal de operaţii) - O evidenţă sau un jurnal al unei secvenţe de evenimente sau activităţi. 
Managementul configurației - Procesul de identificare şi definire a componentelor de configuraţie într-un 
sistem, de înregistrare şi raportare a stării componentelor din configuraţie şi a solicitărilor de modificare şi 
verificare a integrităţii şi corectitudinii componentelor de configuraţie. 

Managementul riscului - Activităţi coordonate pentru îndrumarea şi controlul unei organizaţii luând în 
considerare riscurile. 

Managementul schimbărilor - Procesul de control şi gestionare a solicitărilor de modificare a oricărui 
aspect al sistemului informatic (hardware, software, documentaţie, comunicaţii, fişiere de configurare a 
sistemului). Procesul de management al schimbărilor va include măsuri de control, gestionare şi 
implementare a modificărilor aprobate. 

Mediu de control - Include funcţiile de guvernare şi de conducere, precum şi atitudinile, conştientizarea 
şi acţiunile celor însărcinaţi cu guvernarea şi conducerea entității referitoare la controlul intern al entității şi 
la importanţa acestuia în entitate. Mediul de control este o componentă a controlului intern. 

Mediu informatizat - Politicile şi procedurile pe care entitatea le implementează şi infrastructura 
informatică (echipamente, sisteme de operare etc.), precum şi programele de aplicaţie utilizate pentru 
susținerea operaţiunilor întreprinderii şi realizarea strategiilor de afaceri. Se consideră că un astfel de 
mediu există în cazul în care în procesarea de către entitate a informaţiilor financiare semnificative pentru 
audit este implicat un calculator, de orice tip sau dimensiune, indiferent dacă acest calculator este operat 
de către entitate sau de o terță parte. 

Metode biometrice - Metode automate de verificare sau de recunoaştere a unei persoane bazate pe 
caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mână şi geometria 
facială sau retina), utilizate în controlul accesului fizic. 


Modem - O piesă de echipament utilizată pentru convertirea unui semnal digital dintr-un calculator, în 
semnal analog pentru transmiterea într-o reţea analogică (precum sistemul public de telefoane). Un alt 
modem aflat la capătul de primire converteşte semnalul analog în semnal digital. 

Networks [reţele] - Interconectarea prin facilităţi de telecomunicatie a calculatoarelor şi a altor 
dispozitive. 

Ofiţer de securitate - Persoana responsabilă să asigure că regulile de securitate ale organizaţiei sunt 
implementate şi funcţionează. 

Pista de audit - Un set cronologic de înregistrări care furnizează în mod colectiv proba documentară a 
prelucrării, suficientă pentru a permite reconstituirea, revizuirea şi examinarea unei activităţi. 

Planificarea continuității - Planificarea efectuată pentru a asigura continuitatea proceselor cheie ale 
afacerii după dezastre, căderi majore ale sistemelor sau în cazul imposibilității procesărilor de rutină. 
Politica de securitate - Setul de reguli şi practici care reglementează modul în care o organizaţie 
gestionează, protejează şi distribuie informaţiile sensibile. 

Probe de audit - Totalitatea informaţiilor folosite de auditor pentru a ajunge la concluziile pe care se 
bazează opinia de audit. 

Protocol - Standarde şi reguli care determina înţelesul, formatul şi tipurile de date care pot fi transferate 
între calculatoarele din reţea. 

Resurse - Orice prezintă valoare pentru organizaţie. 
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Risc rezidual - Riscul care rămâne după tratarea riscului. 

Reţea de arie larga (WAN) - O reţea de comunicaţii care transmite informaţii pe o arie extinsă, cum ar fi 
între locaţii ale întreprinderii, oraşe sau tari diferite. Rețelele extinse permit, de asemenea, accesul online 
la aplicaţii, efectuat de la terminale situate la distanţă. Mai multe reţele locale (LAN) pot fi interconectate 
într-o reţea WAN. 

Reţea locală (LAN) - O reţea de comunicaţii care deserveşte utilizatorii dintr-o arie geografică bine deli- 
mitată. Rețelele locale au fost dezvoltate pentru a facilita schimbul de informaţii şi utilizarea în comun a 
resurselor din cadrul unei organizaţii, inclusiv date, programe informatice, depozite de date, imprimante şi 
echipamente de telecomunicaţii. Componentele de bază ale unei rețele locale sunt mijloacele de trans- 
misie şi programele informatice, staţiile de lucru pentru utilizatori şi echipamentele periferice utilizate în 
comun. 

Router - Un dispozitiv de reţea care asigură că datele care se transmit printr-o reţea urmează ruta optima. 
Sectorul public — Guvernele nationale, guvernele regionale (spre exemplu, cele la nivel de stat, provincie 
sau teritoriale), administraţiile locale (spre exemplu, la nivel de oraş, municipiu) şi entităţile 
guvernamentale aferente (spre exemplu, agenţii, consilii, comisii şi întreprinderi). 

Secure Socket Layer (SSL) - O tehnologie bazată pe web care permite unui calculator să verifice 
identitatea altui calculator şi permite conexiunile securizate. 

Securitatea informaţiei - Păstrarea confidenţialităţii, integrităţii şi a disponibilitatii informaţiei; în plus, alte 
proprietăţi precum autenticitatea, responsabilitatea, non-repudierea şi fiabilitatea pot fi de asemenea 
implicate. 

Server - O unitate de calcul plasată într-un nod al reţelei care asigură servicii specifice utilizatorilor reţelei 
(de exemplu, un print server asigură facilităţi de imprimare în reţea, iar un file server stochează fişierele 
utilizatorului). 

Servere de tip blade (lama) - Servere bazate pe o tehnologie de mare densitate si pe o soluţie 
constructivă de tip lamă (construite pe o singură placă). 

Service level agreements - Acorduri sau contracte scrise între utilizatori şi prestatorii de servicii, care 
documentează livrarea convenită a serviciilor IT. Acestea includ, de obicei, orele pentru prestarea 
serviciului, disponibilitatea serviciului, produsul, timpii de răspuns, restricţii şi funcţionalitate. 

Sistem de management al securităţii informaţiei (SMSI) - Partea din întreg sistemul de management, 
bazată pe o abordare a riscului afacerii, folosită pentru a stabili, implementa, funcţiona, monitoriza, 
revizui, menţine şi îmbunătăţi securitatea informaţiei. Sistemul de management include structuri 
organizaționale, politici, activităţi de planificare, responsabilităţi, practici, proceduri, procese şi resurse. 
Sisteme informaţionale relevante pentru raportarea financiară - O componentă a controlului intern 
care include sistemul de raportare financiară şi constă din procedurile şi înregistrările stabilite pentru a 
initia, înregistra, procesa şi raporta tranzacţiile entității (precum şi evenimentele şi condiţiile) şi pentru a 
menţine responsabilitatea pentru activele, datoriile şi capitalurile proprii aferente. 

Software social - Software de tip social (social networking, social collaboration, social media and social 
validation) este avut în vedere de organizaţii în procesul integrării întreprinderii. 

t-guvernare - Utilizarea tehnologiei comunicării informaţiei pentru a asigura (a permite) transformarea 
modului de lucru al guvernului, într-o manieră centrată pe client. 

Tehnologii informatice « verzi » (ecologice) — Sunt asociate cu evoluţia blade server, prin reorientarea 
către produse din ce în ce mai eficiente care pot permite funcţionarea în manieră ecologică, având în 
vedere impactul asupra reţelei electrice şi a emisiilor de carbon. 

Test de parcurgere — Un test de parcurgere implică urmărirea câtorva tranzacţii pe parcursul întregului 
sistem de raportare. 

TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al transmisiei / Protocol 
Internet]: un standard utilizat pe larg pentru transferul de date între calculatoarele în reţea, inclusiv cele 
conectate la Internet. 

Tratarea riscului - Proces de selecţie şi implementare a unor măsuri în vederea reducerii riscului. 
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Trojan horse (cal troian) - Program de calculator care realizează aparent o funcţie utilă, dar realizează şi 
funcţii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns într-un program 
autorizat şi exploatează privilegiile de acces ale acestuia). 

User profile (profilul utilizatorului) - O listă de drepturi de acces ale unui anumit utilizator al sistemului. 
Virus - Sunt programe de calculator rău intenţionate, autopropagabile care se ataşează programelor 
executabile gazdă. 

Worms (viermi) - Viermii sunt programe de calculator rău intenţionate, care se pot replica fără ca 
programul gazdă să poarte infecția. Rețelele sunt vulnerabile la atacurile viermilor, un vierme care intra în 
nodul unei reţele cauzează probleme locale în nod şi trimite copii ale sale nodurilor vecine. 
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Anexa 1 - Legislaţia pentru Societatea Informațională 


Cadrul legislativ din România 


e HG nr. 58/1998 pentru aprobarea Strategiei nationale de informatizare şi implementare în ritm 
accelerat a societăţii informationale şi a Programului de acţiuni privind utilizarea pe scara largă şi 
dezvoltarea sectorului tehnologiilor informaţiei în România 


e HGnr.271/2001 privind înființarea grupului de lucru "Grupul de Promovare a Tehnologiei 
Informaţiei în România" 


e HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea administraţiei 
publice 


e Legea nr. 455/2001 privind semnătura electronica 


e HG nr. 1259/2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 
455/2001 privind semnatura electronică 


e Legea nr. 365/2002 republicată privind comerțul electronic 


e Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter 
personal şi libera circulaţie a acestor date 


e Legea nr. 544/2001 privind liberul acces la informaţiile de interes public 


e Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea 
demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea 
coruptiei - TITLUL II: Transparenţa în administrarea informaţiilor şi serviciilor publice prin mijloace 
electronice 


e Legea nr. 161/ 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea 
demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea 
coruptiei - TITLUL III: Prevenirea şi combaterea criminalitatii informatice. 


e HG nr. 1085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele măsuri 
pentru asigurarea transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul 
de afaceri, prevenirea şi sancţionarea coruptiei, referitoare la implementarea Sistemului 
Electronic Naţional 


e HG nr. 538/2004 privind modificarea şi completarea Hotărârii Guvernului nr. 1.085/2003 pentru 
aplicarea unor prevederi ale Legii nr. 161/2003 privind unele măsuri pentru asigurarea 
transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, 
prevenirea şi sancţionarea coruptiei, referitoare la implementarea Sistemului Electronic Naţional 


e HGnr.1362/2004 privind înființarea Centrului Informatic National al Ministerului Administraţiei şi 
Internelor şi operationalizarea Sistemului e-administratie 
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e Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protectia vieții private in 
sectorul comunicaţiilor electronice 


e HG nr. 1016/2004 privind măsurile pentru organizarea şi realizarea schimbului de informaţii in 
domeniul standardelor şi reglementărilor tehnice, precum şi al regulilor referitoare la serviciile 
societăţii informaţionale între România şi statele membre ale Uniunii Europene,precum şi Comisia 
Europeană 


e OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de 
management/control intern la entitatile publice si pentru dezvoltarea sistemelor de control 
managerial 


e Legea 121/2006 pentru modificarea şi completarea Legii nr. 365/2002 privind comerțul electronic 


e OMF nr. 847/2009 pentru modificarea şi completarea Ordinului ministrului economiei şi finanţelor 
nr. 858/2008 privind depunerea declaraţiilor fiscale prin mijloace electronice de transmitere la 
distanță 


e OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii şi libertatea de a furniza 
servicii în România 


e HG nr. 444/2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaţiilor 
electronice în bandă largă în România pentru perioada 2009-2015 


e HG nr. 201/2010 privind organizarea şi funcţionarea Punctului de Contact Unic electronic (PCU 
electronic), 


e HG nr. 195/2010 privind aprobarea Strategiei nationale "e-Romania" 


Directivele Parlamentului European 


+ Directiva 1999/93/CE privind un cadru comunitar pentru semnătura electronică; 

+ Directiva 2000/31/CE privind aspecte juridice ale serviciilor societăţii informaţionale, în special ale 
comerțului electronic; 

+ Directiva 2002/19/CE privind accesul la rețele de comunicaţii electronice şi la infrastructura 
asociată, precum şi interconectarea acestora; 


+ Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidentialitatii şi 
comunicaţiilor electronice; 


+ Directiva 460/2004/CE privind instituirea Agenţiei Europene pentru Securitatea reţelelor 
informatice şi a datelor; 


+ Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizării 
in condiţii de mai mare siguranță a Internet-ului şi a noilor tehnologii online; 


e Directiva 2006/123/CE privind serviciile pe piaţa internă (Directiva Servicii). 
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Metodologie de revizuire a securităţii sistemelor informatice 


Ghid pentru revizuirea securităţii sistemelor 
informatice în organizaţiile guvernamentale 


Volumul 1: Prezentare 


1.1 Prezentare 


Utilizatorii ar trebui să citească această prezentare înainte de a se referi la alte volume 
referitoare la ghidul metodologic de revizuire a Sistemului de Securitate a Informaţiei (SSI), 
publicat de INTOSAI. 

Scopul acestei prezentari de ansamblu este de a explica modul in care aceasta metodologie 
este organizata si in ce imprejurari poate fi folosita: 


- Ghidul metodologic de evaluare a SSI se aplică la orice mediu (mainframe, 
microcalculator sau reţeaua locală de microcalculatoare). 

- Ghidul metodologic de revizuire a SSI este, de asemenea, aplicabil oricărui mediu 
informatizat (calculator mare, microcalculator sau reţea locală de microcalculatoare). 


Ghidul metodologic de revizuire a SSI propune o abordare pe două niveluri. 


Nivelul 1 furnizează Institutiilor Supreme de Audit (ISA), o metodă de a face o revizuire 
manuală simplă a sistemului informatic, în special atunci când resursele sunt limitate sau 
nevoile de raportare nu cer altceva (Volumul 2). 


Nivelul 2 furnizează o metodă mult mai sofisticată, bazată pe valoarea financiară a expunerilor 
asociate cu securitatea informaţiei (Volumul 3). 


Obiectivul principal al acestui ghid este de a asista ISA care au un astfel de mandat pentru a 
revizui programele implementate de diferite organizaţii guvernamentale, sub aspectul 
sistemului de securitate a informaţiei. Acesta poate fi, de asemenea, utilizat de către ISA 
pentru a stabili programe de securitate eficiente şi cuprinzătoare, care să acopere sistemele 
informatice cheie în propria organizaţie (ISA). Acesta nu este un ghid detaliat de audit de 
securitate: este o descriere a unei abordări structurate pentru evaluarea şi gestionarea 
riscurilor în sistemele informatice. 


1.2 Ce este securitatea Sistemului Informatic 


Obiectivul unui program de securitate a sistemului informatic este acela de a proteja informaţia 
organizaţiei, prin reducerea riscului de pierdere a confidentialitatii, integrităţii şi disponibilitatii 
informaţiilor la un nivel acceptabil. 


Un bun program de securitate a informaţiilor implică două elemente majore: analiza de risc şi 
managementul riscurilor. 


În faza de analiză de risc, se realizează un inventar al tuturor sistemelor informatice. Pentru 
fiecare sistem, se stabileşte valoarea acestuia în cadrul organizaţiei şi se determină gradul în 
care organizaţia este expusă riscului. 

Managementul riscurilor, pe de altă parte, implică selectarea controalelor şi măsurilor de 
securitate care reduc expunerea organizaţiei la risc la un nivel acceptabil. 


Pentru a fi eficace, eficient şi pentru a reflecta acceptarea unor semnificaţii comune, 
managementul riscurilor trebuie să se facă într-un cadru de securitate, caz în care măsurile de 
securitate a informaţiei sunt completate de măsuri referitoare la calculatoare, personal, 
activitatea administrativă, precum şi măsuri privind securitatea fizică (a se vedea Figura 1). 


Managementul riscurilor devine o problemă a conducerii de vârf. Trebuie asigurat un echilibru 
între valoarea informaţiei în cadrul organizaţiei, pe de o parte, şi costul măsurilor de securitate 
privind personalul, activităţile administrative şi tehnologice, pe de altă parte. Măsurile de 
securitate puse în aplicare trebuie să fie mai puţin costisitoare decât daunele potenţiale 
cauzate de pierderea confidentialitatii, integrităţii şi disponibilităţii informaţiei. 


Multe metodologii formale de analiză de risc existente pe piaţă necesită expertiză tehnică în 
domeniul tehnologiei informaţiei şi al controalelor relevante, precum şi în ceea ce priveşte 
disponibilitatea spectrului de ameninţări specifice, care ar putea fi dincolo de cunoaşterea din 
cadrul multor oficii de audit, cel puţin la început. Obiectivul este de a constitui, de-a lungul 
timpului, expertiza necesară şi resursele. 


Sisteme 
informatice 


Hardware / Software 


Administrativ 


Personal (Resurse umane) 


Nivel fizic 


Figura 1. Nivele complementare în securitatea informaţiei 


1.3 Cadrul de lucru pentru securitatea informaţiei 


Securitatea informaţiei este un element al unei infrastructuri de securitate şi, ca atare, nu 
trebuie să fie examinată individual. Trebuie să existe un cadru de politici de securitate care se 
ocupă de toate aspectele legate de securitatea fizică, securitatea personalului şi de securitatea 
informaţiilor. Trebuie să existe roluri şi responsabilităţi clare pentru utilizatori, ofiţeri de 
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securitate şi Comitetul de direcţie pentru sisteme informatice. Un program de securitate a 
informaţiilor ar trebui să includă toate aspectele legate de sensibilitatea informaţiilor 
organizaţiei, inclusiv confidentialitatea, integritatea şi disponibilitatea. Trebuie să existe un 
program de conştientizare privind securitatea, care să informeze întreg personalul cu privire la 
riscurile posibile şi la expuneri, precum si la responsabilitatile care îi revin în calitate de 
deţinător al informaţiilor organizaţiei. 


Referindu-ne la Figura 1, securitatea informaţiilor este un set de măsuri implementate la 
următoarele niveluri: fizic, personal, administrativ, calculator (hardware şi software) şi la nivelul 
sistemului informatic. Acestea trebuie să funcţioneze în mod integrat. Securitatea informaţiilor 
presupune un bun control al managementului şi al deficienţelor la orice nivel pentru a preveni 
ameninţarea securităţii la celelalte niveluri. În cazul în care politicile de securitate pentru 
personal, de exemplu, nu sunt bine concepute şi puse în aplicare, securitatea informaţiilor ar 
putea deveni foarte costisitoare sau aproape imposibil de susţinut. 

Pe de altă parte, măsurile minime de la toate nivelurile ar trebui să asigure un nivel minim de 
protecţie a informaţiilor, cu condiţia ca riscul de securitate să fie rezonabil şi acceptat de către 
conducere. Există, de asemenea, situaţii în care măsurile de securitate la un anumit nivel să 
poată compensa deficienţe de securitate din altă zonă. Criptarea, de exemplu, adaugă un strat 
suplimentar de protecţie pentru confidentialitatea datelor şi integritate chiar şi în cazurile în care 
măsurile de securitate fizică, de personal sau administrative pot fi slabe. Criptarea rămâne una 
dintre ultimele forme de apărare care poate ajuta la prevenirea breşelor care afectează 
confidentialitatea sau integritatea. 


În planificarea securităţii informaţiilor, valoarea informaţiei pentru management şi volumul 
acestor informaţii relativ la alte tipuri de informaţii trebuie să fie echilibrat în raport cu limitările 
securităţii de bază ale mediului. În multe departamente guvernamentale, dacă nu sunt cerinţe 
extreme pentru manipularea de informaţii cu caracter secret deosebit, pe un laptop protejat în 
mod adecvat, informaţiile ar trebui să fie pur şi simplu create şi transportate într-o altă manieră. 
Pentru acele departamente, costurile şi constrângerile controalelor de securitate 
corespunzătoare şi măsurile nu pot fi acceptabile, având în vedere volumul mic de informaţii 
care are nevoie de o astfel de protecţie. 


1.4  Abordare pe două niveluri a revizuirii SSI 


Ghidul introduce o abordare pe două niveluri a revizuirii sistemului de securitate a informaţiei”. 
Accentul se pune pe utilizarea simțului comun pentru a echilibra continuu costul măsurilor de 
securitate care urmează să fie incluse în sistem cu valoarea informaţiei manipulate în acest 
sistem?. 


! Această abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) şi de Oficiul 
Auditorului General al Canadei. 


2 Securitatea este în mare măsură de natură preventivă, cum ar fi asigurarea auto. Chiar dacă cei mai mulţi oameni nu a fost 
implicaţi niciodată într-un accident de masina grav, ei încă au asigurare auto. Beneficiile nu sunt niciodată pe deplin realizate 
până când nu are loc un accident. Securitatea "este o cheltuială legitimă şi necesară serviciilor de gestionare a informaţiilor, şi 
guvernul ar trebui să ia în considerare atât costul de punere în aplicare a controalelor cât şi costul potenţial de a nu face acest 
lucru. Costurile de securitate ar trebui sa fie proporţionale cu necesitatea, şi incluse în costurile ciclului de viata al oricărui 
sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securității informaţiilor). 


Având în vedere resursele limitate ale multor instituţii supreme de audit, se propune ca ISA să 
utilizează întâi o viziune top-down manuală de management al securităţii informaţiei. ISA 
trebuie să treacă la a doua fază, o analiză foarte detaliată care vizează o evaluare financiară a 
expunerii la risc a informaţiei, numai în cazul în care managementul are nevoie de precizie 
financiară pentru a susţine deciziile sale sau dacă expunerile tehnice specifice sunt în curs de 
examinare. Ambele metode de includ elemente de analiză a riscurilor şi de gestionare a 
riscurilor (a se vedea Figura 2). 


Analiza riscurilor de securitate Managementul riscurilor 


Revizuire manuală “top-down” 


Costuri nete detaliate necesare? 


Recomandări de securitate generale 
şi măsuri specifice 
Analiză suplimentară 
necesară (cuantificată)? 


Faza de implementare 


Analiză detaliată (expunere monetară Măsuri detaliate (inclusiv costuri nete) 
statistică) 


Figura 2. Abordare pe două nivele pentru analiza şi managementul riscurilor de securitate 


Expertiză şi resurse diponibile 


Da 


Z 
c 


Această abordare pe două niveluri furnizează Instituțiilor Supreme de Audit optiuni în alegerea 
metodologiilor şi o cale de migrare treptată de la o metodologie mai puţin sofisticată la una 
foarte formalizată şi consumatoare de resurse. 


1.5 Abordarea top-down pentru revizuirea securităţii 
informaţiilor 


Metoda top-down este simplă, dar completă şi poate ajuta Instituţiile Supreme de Audit sa 
ajungă la concluzii cu privire la expunerile sistemului de securitate a informaţiilor în curs de 
revizuire. Este nevoie de o perspectivă „de sus în jos”, top-down, a securităţii informaţiilor 
deoarece aceasta reflectă: perspectiva conducerii de vârf asupra informaţiei în ceea ce 
priveşte valoarea acesteia pentru organizaţie, riscurile şi expunerile sistemului de securitate şi 
recomandările care ar trebui să fie făcute. Această abordare permite auditorilor să-şi 
concentreze atenţia asupra sistemelor informatice cheie, în special asupra celor care prezintă 
preocupări speciale de securitate. 


Metoda top-down se bazează pe evaluări calitative de risc pentru amenințările posibile şi 
pentru impactul acestora, în cazul în care s-au manifestat. Accentul este pus pe estimarea 
valorii informaţiei sau datelor manipulate de sistemul informatic pentru management, şi nu atât 
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de mult pe valoarea tehnologiei în sine’. Pentru fiecare sistem informatic, valoarea informaţiilor 
pentru organizaţie, amenințările şi posibilele efecte sunt evaluate mai întâi individual, apoi 
global pentru a determina un grad global de expunere la risc. Aceste evaluări sunt subiective 
şi, de obicei, sunt exprimate în termeni de risc ridicat, mediu sau scăzut, impact şi expunere. 


Pe baza acestor evaluări, se fac recomandări managementului, cu privire la acţiunile care 
trebuie întreprinse sau cu privire la tipurile controalelor specifice şi la măsurile de securitate 
care trebuie implementate. Aceste recomandări sunt o parte a managementului de risc. Metoda 
top-down are mai multe avantaje. Este uşor şi ieftin de folosit. Aceasta este o metodă manuală 
şi poate fi utilizată în orice ISA de către personalul cu experienţă în materie de controale de 
management şi de informaţii şi sisteme informatice în general. Resursele interne de personal 
pot fi suficiente, fără a fi nevoie de pachete software sofisticate pentru a colecta date cu privire 
la sistemele informatice revizuite, pentru a obţine statistici actualizate pertinente si pentru a 
produce analize foarte sofisticate şi rapoarte. De obicei, este suficient un pachet de prelucrare 
a textelor. Foile de calcul tabelar pot ajuta în producerea de tabele de sinteză. Cei mai avansați 
pot dori să utilizeze pachete care exploatează funcţionalitatea bazei de date pentru a colecta 
informaţii şi să producă, ulterior, rapoartele de analiză. 


În abordarea pe două niveluri propusă, privind securitatea sistemului informatic, metoda top- 
down este văzută ca un punct de decizie în cadrul metodei de ansamblu. În funcţie de 
circumstanţele revizuirii, SAl-urile pot fi satisfăcute de rezultatele revizuirii sau pot decide să 
continue revizuirea cu proceduri mult mai sofisticate, în domenii de interes special sau în cazul 
în care măsurile de securitate foarte tehnice sau foarte costisitoare ar putea să necesite 
justificarea managementului. 


1.6 Metoda detaliată privind securitatea sistemului 
informatic 


Metodologiile detaliate utilizate în nivelul al doilea al abordării propuse Instituţiilor Supreme de 
Audit, reprezintă un tip bine cunoscut de analiză şi management al riscurilor bazat pe o analiză 
detaliată şi cantitativă a activelor aferente sistemului informatic. Acestea încearcă să măsoare 
impactul financiar net al expunerilor de securitate şi a contramăsurilor puse în aplicare. 
Furnizori din întreaga lume vind diferite pachete de analiza a securităţii care permit o astfel de 
abordare. 


Metode cantitative de analiză a securităţii sunt, de obicei, puse la dispoziţie împreună cu un 
pachet software de care va beneficia auditorul la introducerea datelor, calcularea expunerilor 
de securitate şi raportarea cu privire la proiect. Aceste pachete de management al riscurilor 
constituie un ajutor de specialitate din partea furnizorilor si un suport de instruire pentru 
utilizatorii metodei. 


3 Spre deosebire de metoda top-down, metodologiile detaliate, utilizate în al doilea nivel al abordării propuse de acest ghid, cuantifică într-o 
manieră foarte detaliată amenințările la adresa platformei de calculatoare pe care se execută sistemele informatice. 


Volumul 3 descrie o versiune manuală a unei metode detaliate de securitate a informaţiei 4. 
Obiectivul este de a oferi SAl-urilor o imagine de ansamblu a unei metode care este cea mai 
utilizată şi are ca suport un pachet de programe software. 


În contrast cu abordarea top-down, analiza cantitativă a securităţii are ca scop evaluarea în 
termeni financiari, într-un mod foarte detaliat şi structurat, a tuturor activelor şi a tuturor 
amenințărilor posibile, precum şi impactul acestora asupra sistemelor informatice implementate 
de către o organizaţie. Prin interviuri şi chestionare, sunt evaluate de către utilizatori posibilele 
efecte asupra informaţiilor şi clasificate pe o scală de la unu la zece, în funcţie de gravitatea lor. 
În continuare, aşteptările privind pierderile anuale sunt calculate prin combinarea costurilor de 
înlocuire a activelor, a probabilităților amenințărilor şi a factorilor de ponderare a impactului. 


Cele mai multe dintre metodele de pe piaţă sunt „în natură” pe două niveluri şi variază de la 
una la alta în concordanţă cu modul in care au fost obţinute probabilitățile, costurile şi pierderile 
anuale cumulate anticipate. Alte diferenţe pot fi uşurinţa în utilizarea metodei şi tipul de suport 
oferit de către vânzător. Acestea sunt unele dintre problemele pe care această abordare pe 
două niveluri încearcă să le abordeze. 


Utilizarea unor metode cantitative de analiză şi de management ale riscurilor impune ca 
tabelele statisticilor riscurilor şi costurile activelor să fie modificate în acord cu circumstanţele 
specifice fiecărei țări. 


1.7 Cum se utilizează abordarea pe două niveluri pentru revizuirea 
sistemului informatic 


Planificare. Planificarea revizuirii securităţii este cheia succesului acţiunii. Aceasta ar trebui să 
acopere următoarele elemente principale: 

e Cunoaşterea clientului şi a mediului informatizat; 

e Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt 
limitele logice, fizice sau geografice; 

e Resurse disponibile: personal calificat sau consultanţi, bugete, termene; 

e Disponibilitatea unor statistici fiabile privind amenințările şi a unor date referitoare la 
costuri, adecvate pentru condiţiile locale; adaptarea valorilor implicite, dacă este 
necesar; 

e Cerințele de raportare: destinatarii raportului, contextul revizuirii (raportul anual, 
rapoartele speciale de uz intern/ extern etc), tipul recomandărilor necesare; 

e Metoda de revizuire: abordarea top-down (de sus în jos), analize detaliate sau o 
combinaţie a celor două. 


+ Dezvoltată de the National Audit Office of the UK 


1.8 Cand şi cum se utilizează abordarea revizuirii 
top-down 


Abordarea top-down este metoda preferată utilizată pentru revizuire, deoarece satisface 
nevoile şi capacităţile multor instituţii supreme de audit. 

Volumul 2 conţine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securităţii. O 
serie de formulare este prezentată în anexe. Formularele pot fi utilizate în formă tipărită sau pe 
un calculator’. 

Cele mai importante formulare sunt Declaraţia privind sensibilitatea informaţiilor şi clasificarea 
securităţii (Anexa C), precum şi formularul Impactul asupra afacerii şi evaluarea amenințărilor 
(Anexa E). 

În funcţie de circumstanţele de revizuire a securităţii, versiunile pe suport de hârtie ale acestor 
formulare pot fi completate de către proprietarii / utilizatorii de sisteme informatice în curs de 
revizuire şi semnate de un funcţionar desemnat de conducere. Acestea se constituie în 
documentaţia permanentă de evaluare a securităţii pentru aceste sisteme. Disponibilitatea 
formularelor electronice simplifică şi uşurează adaptarea acestora la nevoile locale. 

Alte formulare, în cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele 
pentru mai multe sisteme informatice, pe un format centralizator. 


1.9 Când şi cum se pot folosi metodele de securitate a 
informaţiilor detaliate 


Există circumstanţe în care se impun revizuiri ale securităţii informaţiei mult mai detaliate şi mai 
cuantificate. Acest lucru se va întâmpla în cazul în care instituţiile supreme de audit dispun de 
resursele bugetare, tehnice şi de personal necesare pentru a desfăşura analize detaliate sau în 
cazul în care cerințele de raportare dictează acest mod de abordare. 

Înainte de a încerca utilizarea unei metode de securitate a informaţiilor detaliate, se recomandă 
ca ISA să acorde o atenţie deosebită următoarelor aspecte: 

e Disponibilitatea expertizei sau accesul uşor la expertiza din domeniul tehnologiei 
informaţiei şi al securităţii informaţiei; 

e Disponibilitatea unei metodologii adecvate; 

e Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt 
foarte cuprinzătoare şi implică metodologii detaliate, care impun utilizarea unui 
calculator; pe de altă parte, pachetul software suport introduce, de obicei, complexitate 
inerentă, care transformă revizuirea detaliată a securităţii într-o sarcină extrem de 
dificilă; 

e Bugetele pentru adaptarea sau personalizarea pachetului pentru mediul supus 
revizuirii: câteva luni de efort nu constituie o exagerare; 

e  Bugetele pentru instruire, având în vedere curba de învăţare care poate fi destul de 
abruptă şi costisitoare, mai ales în cazul în care trebuie să fie utilizaţi consultantii; 

e Resurse financiare şi de timp: revizuirile de securitate detaliate sau de amploare tind 
să fie de lungă durată şi consumatoare de resurse, şi, 

e Nevoia pentru o astfel de revizuire detaliată: există o argumentatie care să susţină ca 
revizuirile detaliate, cantitative de securitate nu pot fi justificate pentru sistemele 


5 Formularele sunt disponibile în format electronic şi pot fi uşor importate într-un mediu Windows. 


informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de 
sensibile. 


Instituţii supreme de audit, cum ar fi Oficiul Naţional de Audit din Marea Britanie şi Oficiul de 
Audit din Noua Zeelandă au deja o lungă experienţă în dezvoltarea şi utilizarea metodelor de 
gestionare a riscurilor de securitate detaliate. Celelalte instituţii supreme de audit pot dori să se 
consulte cu acestea înainte de a merge în această direcţie. 

Pentru a utiliza aceste metode în mod eficient, instituţiile supreme de audit trebuie să aibă 
acces la personal calificat sau consultanţi în domeniul tehnologiei informaţiei şi în conceptele 
de securitate a informaţiilor. La nivel mondial, sunt comercializate de către o serie de firme de 
consultanţă, pachete comerciale de gestionare a riscurilor, împreună cu instruirea aferentă în 
utilizarea metodologiei de bază. 


Există mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a 
fost dezvoltat pentru guvernul britanic, iar acum este comercializat întreaga lume, prin diverse 
firme de consultanță. În S.U.A., RiskWatch este un pachet bine cunoscut care utilizează un 
software de tip sistem expert pentru a efectua analiza şi managementul riscurilor. 
Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment 
(LAVA). Noua Zeelandă are în curs de dezvoltare programul CATALYST, într-un mediu 
Windows, pentru a răspunde propriilor nevoi de analiză a securităţii. Selecţia unui astfel de 
pachet poate fi o chestiune de disponibilitate locală, cost, suport tehnic după cumpărare, 
resurse necesare pentru personalizare la condiţiile locale. 

Costul unuia dintre aceste pachete comerciale pentru o instituţie supremă de audit este de 
aproximativ £ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru 
una sau două persoane. 

În toate cazurile, instituția supremă de audit trebuie să se asigure că statisticile de bază 
utilizate de către pachetul selectat sunt adecvate pentru condițiile locale. În alte cazuri, 
rezultatele ar putea reflecta condiţiile existente numai în Europa sau în America de Nord. 


Metodologie de revizuire a securităţii sistemelor informatice 


Ghid pentru revizuirea securităţii sistemelor 
informatice în organizaţiile guvernamentale 


Volumul 2 O abordare top-down 


Declaraţia privind sensibilitatea 
informaţiilor şi clasificarea securităţii 
pentru sistemele informatice 


2.1 Introducere 


Scopul acestui ghid este de a furniza o metodologie eficientă pentru a asista în revizuirea sau 
în stabilirea unor politici şi măsuri de securitate adecvate în cadrul unei organizaţii. 
Recunoscând că cerinţele de securitate trebuie să fie actualizate în mod regulat, ghidul 
furnizează, de asemenea, o documentaţie simplă privind actualizarea şi de raportarea. 

Ghidul descrie evaluarea securităţii informatice din perspectiva managementului într-o 
organizaţie guvernamentala®. Organizațiile pot utiliza acest ghid pentru a fi asistate la 
elaborarea unui "inventar" de aplicaţii informatice utilizate, la evaluarea sensibilităţii şi 
clasificării securităţii informaţiilor şi la finalizarea evaluării impactului riscurilor amenințărilor 
asupra afacerii. Persoana însărcinată cu securitatea” utilizeaza acest ghid ca o bază pentru 
evaluarea generală a politicii şi măsurilor de securitate şi pentru a face recomandări. 


Instituţiile supreme de audit (ISA) pot utiliza ghidul în două moduri: pentru scopuri interne, de a 
crea un proces de evaluare a securităţii în propria organizaţie sau în scopuri externe, pentru a 
ajuta la revizuirea procesului de evaluare a securităţii în alte organizaţii guvernamentale. 

Acest ghid conţine o abordare top-down la nivel înalt pentru securitatea informaţiilor. Accentul 
se pune pe informaţia transmisă de diverse dispozitive electronice. În conformitate cu această 
abordare la nivel înalt, acest ghid califică amenințările generate de cauze generale în locul 
rezultatelor acestora, cum ar fi cutremurele în loc de distrugerea pe care o pot aduce. O 
abordare bottom-up (de jos în sus) a securităţii informaţiilor, pe de altă parte, tinde să 
examineze fiecare activ de tip calculator pentru a detecta slăbiciunile care pot crea expuneri 
având ca efect pierderile de informaţii generate sau transportate de către aceste active. 
Avantajul folosirii abordării top-down este acela că ajută managementul să se focalizeze şi să 
se concentreze pe zonele cu probleme pentru acţiunile viitoare. În unele cazuri, aceasta poate 
indica nevoia de muncă suplimentară pentru a construi un studiu de fezabilitate pentru măsurile 
de securitate extinse sau costisitoare. 


Deoarece metoda are întotdeauna o viziune corporativă sau de management al securităţii 
informaţiilor, ea rămâne flexibilă şi se poate ocupa atât de probleme de politică, cât şi de 
măsuri de securitate. 


2.2 Procesul de evaluare a securităţii sistemelor 
informatice 


2.2.1 Evoluţia managementului informaţiei 


În managementul informaţiilor şi aplicaţiilor, o organizaţie parcurge patru etape distincte: 
(a) managementul documentelor pe hârtie, (b) managementul tehnologiilor automatizate, 
(c) managementul resurselor informaţionale ale companiei şi (d) managementul utilizării 


6 În acest document «organizatie” se referă la orice departament sau agenţie guvernamentală sau de stat. "Aplicaţie 
a" 


informatica" si "sistem informatic" sunt folosite alternativ. 


7 A se vedea Anexa | pentru mai multe detalii privind infrastructura de securitate tipică pentru organizaţiile guvernamentale. 
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strategice a informaţiei (Anexa A). Provocările induse de tehnologie şi de securitate sunt 
minimizarea timpului şi efortului cheltuite în fiecare etapă şi trecerea prin etape, cât mai bine 
posibil. 

În etapa de management al tehnologiilor automatizate, utilizatorii nu au încredere în mod 
semnificativ în aplicaţiile de pe calculator, dar ating o eficienţă notabilă. La a treia etapă, 
managementul resurselor informaţionale ale organizaţiei, securitatea informaţiei devine o 
preocupare majoră din cauza dependenţei semnificative de informaţiile bazate pe calculator şi 
a expunerilor generate de concentrarea informaţiilor într-un singur loc (pe calculator). 


2.2.2 Managementul securităţii 


Una dintre resursele cheie ale organizaţiei este informaţia. Primul pas pentru a păstra resursele 
de calcul în condiţii de siguranţă este adoptarea unor politici şi măsuri de management al 
informaţiei şi administrativ care cuprind principiile unui bun management securitate: 


1. Protectia/asigurarea securităţii ar trebui sa fie conforma cu valoarea informaţiilor care 
trebuie protejate; 

2. Protecţia securităţii ar trebui să fie asigurată informaţiilor ori de câte ori acestea sunt 
transmise pe diverse canale sau prelucrate; şi 

3. Protecţia securităţii ar trebui să fie continuă, în toate situaţiile. 


2.2.3 Echipa de securitate 


Sub conducerea persoanei responsabile cu securitatea calculatoarelor, este selectată o echipă 
de securitate. Angajamentul deplin al conducerii este important în cazul în care echipa se 
angajează în realizarea obiectivelor sale. Responsabilitatea echipei este de a pune în aplicare 
politica de securitate stabilită de conducerea de nivel superior şi de a identifica schimbările 
care sunt necesare datorită evoluţiilor în sistemele informatice ale organizaţiei sau 
amenințărilor cu care se confruntă. 


2.2.4 Procesul 


Politicile de securitate sunt proiectate pentru a proteja informaţiile în conformitate cu expunerile 
informaţiilor. Măsurile de securitate (standarde, proceduri, şi instrumente) sunt baraje pentru 
protejarea informaţiilor. 

Pentru a determina care sunt măsurile specifice necesare, se desfăşoară procesul de evaluare 
a securităţii sistemelor informatice (Anexa B), care implică: 


e Declarația de sensibilitate 


Evaluarea senzitivitatii programului şi aplicaţiilor administrative (sisteme informatice) 
utilizate şi determinarea clasificării securităţii în cadrul organizaţiei. 


Confirmarea evaluării standardului organizaţiei pentru aplicaţii similare şi, după caz, 
completarea sau actualizarea unui formular Declaraţia privind sensibilitatea 
informaţiilor şi clasificarea securităţii (Anexa C). 


În cazul in care se doreşte, recuperarea situaţiilor de sensibilitate individuale în 
formularul Descriere sumară a sistemelor informatice (Anexa D). 


e Evaluarea impactului asupra afacerii 


Determinarea impacturilor posibile ale afacerii asupra organizaţiei în cazul în care au 
fost dezvăluite informaţii, a fost compromisă integritatea sau au fost perturbate servicii. 


e Evaluarea amenințărilor şi a riscului 


Determinarea riscului şi a probabilității cu care amenințările identificate ar putea sa 
apară. 


e Clasificarea gradului de expunere a securităţii 


Evaluarea intercorelată a amenințărilor şi a impactului asupra afacerii pentru a 
determina expunerea globală a organizaţiei. 


Confirmarea evaluării standardului de securitate al organizaţiei pentru aplicaţii similare 
şi, atunci când este cazul, confirmarea sau actualizarea formularului Evaluarea 
amenințărilor şi a impactului asupra afacerii (Anexa E). 


e Decizia privind securitatea şi acţiuni recomandate 
Completarea sau actualizarea formularului Rezumatul evaluărilor securităţii (Anexa G). 


Luarea deciziilor privind securitatea şi formularea de recomandări pentru management, 
pentru a minimiza expunerile identificate şi sublinierea tuturor deficienţelor grave 
referitoare la politica de securitate. 


2.3 Completarea formularului „Declaraţie privind sensibilitatea 
informaţiilor şi clasificarea securităţii” 


Este important să se stabilească un "inventar" complet al tuturor operaţiunilor şi aplicaţiilor 
administrative (grupate sau specifice), aflate în uz şi să se stabilească în mod clar limitele 
sistemului/ sistemelor în curs de revizuire. Anexa | oferă o definiţie a unei aplicaţii. Din motive 
de securitate, aplicaţii similare pot fi grupate împreună, cum ar fi: procesare de text pentru 
scrisori, procesare de text pentru memorandum-uri de audit, foaie de calcul pentru analiza 
financiară, foaie de lucru tabelară pentru planificare etc. 


Aplicațiile sunt deţinute de un grup sau de un individ. În cazul în care există puţine interactiuni 
între aplicaţii, utilizatorii ieşirilor din sistem pot fi uşor de identificat. În sistemele puternic 
integrate, trebuie să fie convenită o graniţă artificială agreată de toate părţile, inclusiv de 
managementul de vârf. 


Un grup poate solicita membrilor să completeze o Declaraţie privind sensibilitatea informaţiilor 
şi clasificarea securităţii (Anexa C), în vederea stabilirii un "inventar" al aplicaţiilor utilizate si 
pentru a colecta datele necesare pentru consolidarea aplicaţiilor similare. Este important ca 
formularul să fie revizuit şi aprobat de către un manager principal al grupului. Aceasta oferă 
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asigurarea că toate evaluările reflectă valoarea reală a sistemului informatic pentru organizaţie, 
ca întreg. 


Prin completarea formularului Declaraţia privind sensibilitatea informaţiilor şi clasificarea 
securităţii (Anexa C), proprietarul evaluează sensibilitatea informaţii din punctul de vedere al 
disponibilitatii, integrităţii şi confidentialitatii, estimează costurile de înlocuire şi oportunitatea 
acestora, costurile directe şi indirecte (ore, un curs mediu al dolarului şi cheltuielile), şi 
stabileşte clasificarea securităţii cerută. 


Formularul Declaraţia privind sensibilitatea informaţiilor şi clasificarea securităţii reprezintă o 
documentare formală a evaluării. Formularul este, de asemenea, util pentru a documenta 
controalele specifice de integritate şi procedurile (completitudinea, acurateţea şi autorizarea). 
Acesta ar trebui să fie păstrat ca document permanent şi actualizat, după cum este necesar. 


Acolo unde este cazul, şi o dată finalizate, declaraţiile individuale de sensibilitate sunt 
recuperate de conducerea de la nivelul grupului sau de la nivelul organizaţiei într-o Descriere 
sumară a sistemelor informatice (Anexa D). Aceasta furnizează managementului o imagine de 
ansamblu asupra sistemelor aflate în responsabilitatea sa şi asupra valorii informaţiilor pe care 
acestea le vehiculează. 


2.4 Completarea formularului „Evaluarea amenințărilor şi a impactului 
asupra afacerii, 


Formularul Evaluarea amenințărilor şi a impactului asupra afacerii (Anexa E) prevede o 
evaluare structurată a expunerilor de securitate la nivelului organizaţiei. Evaluarea are trei 
componente distincte: riscul (probabilitatea) apariţiei amenințării, gradul de gravitate a 
impactului asupra afacerii şi o rată de evaluare a expunerii. Primele două componente sunt 
independente una de cealaltă şi pot fi evaluate în orice ordine. Impactul asupra afacerii şi 
amenințările sunt apoi evaluate împreună pentru a ajunge la un grad (rating) global de 
expunere a securităţii organizaţiei. 


2.4.1 Evaluarea amenințărilor şi a riscurilor 


Ameninţări. „Ce s-ar putea întâmpla”. Amenintarile posibile sunt enumerate în Anexa E. O lista 
mai detaliată, împreună cu sugestiile pentru măsuri de contracarare, este, de asemenea, 
disponibilă în Anexa H. Anchetele privind securitatea raportează că peste 80% dintre 
amenințările experimentate pe informaţiile din calculator provin din interiorul organizaţiei, 
defalcat după cum urmează: 24% ca urmare a neatentiei în aplicarea procedurilor, 26% din 
cauza instruirii neadecvate, iar 30% din cauza angajaţilor necinstiti. 


Ar trebui să se acorde grijă condiţiilor locale, în cazul în care natura şi importanţa amenințării 
pot diferi considerabil de la o ţară la alta. În unele cazuri, acest lucru poate însemna o 
concentrare mai mare pe anumite tipuri de amenințări, definind în continuare unele dintre 
ameninţări şi contramăsurile de adaptare la condiţiile locale. 


Probabilitatea de apariţie. „Şanse ca ameninţarea să se producă în viitor”. Deoarece anumite 
ameninţări şi riscuri pot fi comune în întreaga organizaţie, ar trebui efectuată o evaluare 
generală de către persoana responsabilă cu securitatea sistemelor informatice şi utilizată ca un 
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criteriu pentru evaluările individuale. Persoanele care efectuează evaluări individuale trebuie să 
se concentreze doar asupra riscurilor care sunt relevante sau care ar putea fi diferite din cauza 
unor circumstanţe speciale. Pentru fiecare sistem informatic, şansa de apariţie a amenințărilor 
individuale este evaluată ca fiind mare (majoră), medie sau mică (scăzută). După ce toate 
amenințările posibile asupra aplicaţiei respective au fost identificate şi evaluate, se face o 
judecată de valoare asupra riscului global. Pentru un sistem informatic dat, riscul global nu este 
rezultatul unei formule care amplifică numărul ratelor de evaluări mari şi scăzute. O singură 
rată majoră a evaluării într-un domeniu critic poate conduce la o rată ridicată de ansamblu. Pe 
de altă parte, mai multe rate majore ale evaluării în zonele non-critice pot produce o rată 
globală mediu spre scăzut. 


2.4.2 Evaluarea impactului asupra afacerii 


Deciziile de afaceri trebuie să fie făcute în raport cu valoarea informaţiei. Pentru scopuri de 
securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaţiei în cazul în 
care informaţiile au fost dezvăluite, integritatea acestora a fost compromisă sau a existat o 
întrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate în Anexa E. În 
funcţie de condiţiile locale, pot fi determinate impacturi adiţionale asupra afacerii. Pentru fiecare 
impact asupra afacerii, se iau decizii presupunând că, în cazul în care a avut loc, consecințele 
ar fi foarte grave, grave sau mai puţin grave. Sunt evaluate numai acele impacturi asupra 
afacerii legate de informaţii. După ce au fost evaluate toate impacturile posibile, se face o 
evaluare globală pentru aplicaţii. 


Fiecare dintre aceste evaluări reprezintă o judecată de valoare subiectivă a severităţii fiecărui 
impact individual asupra organizaţiei ca întreg. În mod similar, după evaluarea impacturilor 
individuale asupra organizaţiei în cazul în care informaţiile au fost divulgate, compromise sau 
devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul 
exact al acestor impacturi individuale, ci pe baza unei judecăţi de valoare a efectului de 
ansamblu asupra organizaţiei. Aceste judecăţi de valoare sunt construite prin consens între 
diferitele parti interesate cheie. 


Pentru a fi acceptabile, este important ca evaluarile de impact asupra afacerii şi riscurile 
asociate amenințărilor să fie revizuite periodic şi aprobate de conducerea executivă a grupului 
organizational şi de către persoana responsabilă de securitatea calculatoarelor. 


2.4.3 Estimarea expunerii securităţii 


O evaluare a expunerii securităţii este rezultatul combinării dintre estimarea riscului amenințării 
globale sau a probabilității (mare, mediu, scăzut), şi estimarea impactului global asupra 
afacerii (foarte grav, grav, sau mai puţin grav). Diagrama ratei expunerii, Anexa F, este folosită 
ca un ghid pentru clasificarea expunerilor ca mari medii, şi scăzute. 


Primul pas este de a evalua expunerea totală pentru aplicaţii ca un întreg, în formularul 
Evaluarea amenințărilor şi a impactului asupra afacerii (Anexa E). 


În unele cazuri, pentru o evaluare generală de ansamblu a riscurilor amenințărilor (coloana 
verticală), dar cu un impact general redus asupra afacerii (linia orizontală), Diagrama ratei 
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expunerii ar trebui să ne determine mai întâi, să selectăm cifra "4" ca intersecţie. Acest lucru 
se traduce într-o rată medie de expunere. A se vedea legenda din Diagrama ratei expunerii 
pentru a observa cum clasificarea expunerii poate fi regrupată în rate de expunere scăzute, 
medii sau ridicate. 


Ca un al doilea pas şi pentru a identifica pentru care riscuri ale amenințărilor si impacturi 
asupra afacerii ar putea să fie direcționate acţiunile managementului, se calculează o rata de 
expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin 
utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu 
riscul de ansamblu identificat al amenințării. Numerele obținute din Diagrama ratei expunerii 
sunt afişate pe liniile impactului relevant, în zona evaluării expunerii din Formularul E. Pentru 
claritate, numerele sunt afişate în coloanele Max, Med sau Low (maxim, mediu, scăzut) 
corespunzătoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea 
deveni obiectul recomandărilor către conducere cu privire la reevaluarea impactului asupra 
afacerii sau la reducerea riscului de ameninţare globală, astfel încât să se reducă expunerea la 
securitate a organizaţiei. Această evaluare constituie legătura dintre expunerile la securitate şi 
deciziile şi acţiunile necesare privind securitatea. 


2.5 Rezumatul evaluărilor securităţii 


Formularul Rezumatul evaluărilor securităţii (Anexa G) consolidează informaţii colectate si 
evaluate pe baza formularelor Declaraţia privind sensibilitatea Informaţiilor şi clasificarea 
securităţii (Anexa C), precum şi Evaluarea amenințărilor şi a impactului asupra afacerii (Anexa 
E). Se elaborează rezumate pe grupuri separate pentru operaţiunile de livrare a programelor şi 
activităţile administrative. Atât formularele cât şi rezumatele trebuie să fie păstrate ca 
documente de lucru şi actualizate în mod regulat. Acestea ar trebui să fie revizuite şi aprobate 
de către conducerea executivă adecvată. 


Rezumatele oferă managementului securităţii o imagine de ansamblu a aplicaţiilor aflate în 
utilizare. Pe baza acestor rezumate, împreună cu evaluările aplicaţiilor”, persoana responsabilă 
de securitatea sistemelor informatice evaluează expunerile la securitate a organizaţiei şi 
recomandă acţiunile necesare pentru a minimiza expunerile identificate. Având în vedere 
natura schimbătoare a tehnologiei, procesul de revizuire a riscurilor poate evidenția, de 
asemenea, politici de securitate care nu mai sunt adecvate. Toate deficienţele grave ale politicii 
sunt aduse la cunoştinţa managementului de vârf, în raportul final, împreună cu alte 
recomandări. În cazul în care, pentru un anumit program sau sistem informatic, rezultatele 
indică necesitatea unor recomandări mai precise, poate fi propusă o revizuire mai detaliată, cu 
utilizarea unei analize cantitative mai profunde pentru a determina ce măsuri de securitate sunt 
necesare sau pentru a evalua alternativele posibile. 


Pentru evaluarea securităţii şi în scopul planificării prioritatilor, evaluarea amenințărilor şi 
nivelurilor de risc, a impactului asupra afacerii dacă ameninţarea a avut loc, şi în cele din urmă, 
evaluarea de ansamblu a expunerii organizaţiei sunt foarte utile în stabilirea unor planuri de 
securitate pe termen lung, acceptabile. 
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2.6 Decizii privind securitatea şi acţiuni recomandate 


Pentru fiecare evaluare a expunerii (formularul Evaluarea amenințărilor şi a impactului asupra 
afacerii), se formulează o decizie de securitate şi o recomandare de acţiune pentru 
management. Relaţia dintre o expunere o decizie de securitate şi o acţiune recomandată este 
descrisă în tabelul următor. 


Nivel de Decizia de Acţiune 
expunere securitate recomandată 
ÎNALT Controlul riscului Implementarea de politici şi 
(9,8,7) măsuri adiţionale 
(standarde, proceduri, 
instrumente) 
MEDIU (6,5,4) Controlul riscului Implementarea de politici şi 


măsuri adiţionale 


Prevenirea riscului Schimbarea / îmbunătăţirea 
procedurilor operaţionale 


SCĂZUT Prevenirea riscului Schimbarea / îmbunătăţirea 
(3,2,1) procedurilor operationale 
Limitarea riscului Obtinerea unei acoperiri 
asiguratorii 
Acceptarea riscului Fără schimbări / continuarea 


potrivit planificării 


În cazul în care trebuie să fie recomandate măsuri specifice, Anexa H oferă o listă 
cuprinzătoare de acţiuni care ar putea fi întreprinse. Utilizată împreună cu raţionamentul 
profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea 
controalelor specifice şi a măsurilor de securitate. 


După revizuirea de către persoana responsabilă cu securitatea sistemelor informatice, 
raportului de securitate şi recomandările sunt transmise conducerii superioare prin intermediul 
comitetului director al sistemelor informatice pentru a întreprinde acţiuni. 


2.7 Etapele evaluării securităţii sistemelor informatice 


Paşii unei evaluări a securităţii sistemelor informatice - sensibilitatea informaţiilor şi clasificarea 
securităţii, evaluarea impactului asupra afacerii, evaluarea riscurilor şi a amenințărilor, 
evaluarea expunerii securităţii şi decizia privind securitatea / acţiunile recomandate - sunt 
prezentaţi în Anexa B. Etapele sunt: 
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1. Pentru aplicaţiile proprii, fiecare grup organizational evaluează informaţiile sale 
referitoare la sensibilitate şi clasificarea securităţii, 


sau, alternativ, 


confirmă conţinutul Declaraţiei privind sensibilitatea informaţiilor şi clasificarea 
securităţii şi, dacă este cazul, actualizează formularul, incluzând aprobarea 


corespunzătoare. 

Anexa C Declaraţia privind sensibilitatea Informaţiilor şi clasificarea 
securităţii — Formulare 

Anexa D Descriere sumară a Sistemelor Informatice - Foaie de calcul 


2. Pentru aplicatiile proprii, grupul organizational evaluează impactul asupra afacerii, 
precum şi amenințările şi riscurile, 


sau, alternativ, 


confirmă conţinutul formularului Evaluarea amenințărilor şi a impactului asupra afacerii 
şi, dacă este cazul, actualizează formularul, incluzând aprobarea corespunzătoare.. 


Anexa E Evaluarea amenințărilor şi a impactului asupra afacerii - Foaie 
de calcul 
Anexa F Diagrama ratei expunerii 


3. Grupul organizational pregăteşte un rezumat al evaluărilor securităţii aplicaţiilor 
utilizate, în formatul furnizat. 


Anexa G Rezumatul evaluărilor securităţii - Foaie de calcul 

4. Grupul organizational trimite persoanei responsabile cu securitatea sistemelor 
informatice, pentru revizuire, o copie a rezumatului şi cele două formulare şi, dacă este 
cazul, se întâlneşte cu persoana responsabilă cu securitatea sistemelor informatice 
pentru a finaliza evaluarea securităţii. 


Anexa G Rezumatul evaluărilor securităţii - Foaie de calcul 


Anexa C Declaraţia privind sensibilitatea informaţiilor şi clasificarea 
securităţii — Formular 


3 Deşi dezvoltate ca foi de calcul, aceste formulare pot fi uşor utilizate pe suport de hârtie. 
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Anexa E Evaluarea amenințărilor şi a impactului asupra afacerii - Foaie 
de calcul 


Rezumatul este aprobat de către persoana responsabilă cu securitatea calculatoarelor 
şi, după caz, rezumatul este examinat şi aprobat de către directorul de securitate. 


Anexa G Rezumatul evaluărilor securităţii - Foaie de calcul 
Rezumatul final este examinat şi aprobat de către responsabilul executiv principal al 
grupului organizational. 

Anexa G Rezumatul evaluărilor securităţii - Foaie de calcul 

Persoana responsabilă cu securitatea sistemelor informatice ia, dacă este cazul, 
deciziile de securitate şi întreprinde acţiunile recomandate managementului pentru a 


minimiza expunerea / expunerile identificată / identificate şi raportează ofițerului şef de 
securitate. 


24 


ANEXA A — Evoluţia managementului informaţiei 


Anexa A - Evoluţia managementului informaţiei 


Stadiul 4 
Performanţa 
globală Managementul Utilizării strategice 
a afacerii 


a informației 


Managementul resurselor de 
informație la nivel de corporație 


Managementul tehnologiilor automate 


Managementul documentelor de lucru 


Eficienta 
Functia de Functia de 
suport al eee Se management 
operatiilor strategic 
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ANEXA B 


sistemelor informatice 


Declaraţia de 
senzitivitate 


(incluzând costurile 
asociate oportunităţilor 
de înlocuire) 


Anexa B — Procesul de evaluare a securităţii sistemelor informatice 


Evaluarea impactului 
asupra afacerii 


(foarte important; 
important; 
mai puţin important) 


Actualizare periodică 


Evaluarea amenințărilor 
şi a riscurilor 


(nivel ridicat (Hi); 
mediu (Med); 
coborât (Low) 


Evaluarea expunerii 


(nivel ridicat (Hi); 
mediu (Med); 
coborât (Low) 


Fluxul procesului 


Procesul de evaluare a securităţii 


Decizia privind securitatea 


Acţiunea recomandată 
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ANEXA C - Declaraţia privind sensibilitatea 
informaţiilor şi clasificarea securităţii 


Introducere 


Acest document poate fi utilizat in formă tipărită sau ca un document Word, în funcţie de 
circumstanţele locale. 


În revizuirea top-down a securităţii sistemelor informatice, acest document este utilizat în faza 


de analiză de risc, pentru a documenta sistemele informatice. Se completează un document 
per sistem. 


Aplicaţie : Data: 


(gruparea de aplicaţii similare este acceptabilă) 


Declaraţie nouă Declaraţie Modificată 


Mediu informatizat: 
Micro Mini Calculatoare mari Birou de service 


Software utilizat: 


1. Numele filialei şi, dacă este cazul responsabilul Grupului pentru informaţii (de 
exemplu, proprietarul) 


Filială: Grup: 


2. În cazul în care aplicaţiile au fost grupate, se va sări peste întrebarea "Nr. total de 
tranzacţii”. In cazul în care este aplicabil, furnizaţi o descriere generală a aplicaţiei, 
incluzând sursa informaţiilor, volumul şi complexitatea prelucrărilor. 
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Volum 


Surse volume de informaţii 


% din totalul 
informaţiilor 
organizaţiei 


Număr de înregistrări 


Număr total. de 
tranzacţii 

sau valoarea 
financiară a 
tranzacţiilor 


Mărime fişier 


Clienţi sau 
beneficiari externi 


Program / Operații 


Administrare 


Descrierea generală a aplicaţiei şi complexitatea prelucrării 


3. 


Indicaţi scopul principal şi orice alte scopuri secundare ale informaţiei: 


Servicii pentru public 
Luarea deciziilor 


Funcție administrativă 


Functie financiară 


Indicati utilizatorii primari şi secundari ai informaţiilor: 


Program Administrator Guvern Public Alţii 


Există proceduri manuale şi informatizate utilizate înainte, în timpul sau după 
prelucrare pentru a asigura exhaustivitatea şi exactitatea informaţiilor? 


(INTEGRITATE) 
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Proceduri 


Manuale 
Da / Nu 


Informatizate 
Da / Nu 


Comentarii 
(Natura procedurilor 
principale) 


înainte de prelucrare 


în timpul procesării 


după prelucrare 


6. Care ar fi consecinţele în cazul în care informaţiile au fost divulgate accidental sau în 


mod deliberat? 
(CONFIDENTIALITATE) 


Divulgare, pierdere sau deteriorare 


Da/ Nu 


1. Sentiment de culpabilitate fata de organizatie 


2. Pierderea credibilitatii pentru organizatie 


organizatiei 


3. Compromiterea informatiilor confidentiale ale 


sau ale unei terte parti 


4. Compromiterea informaţiilor clientului 


5. Compromiterea informaţiilor personale 


6. Compromiterea informaţiilor de interes naţional 


7. Care ar fi consecinţele în cazul în care informaţiile au fost modificate şi / sau 


distruse accidental sau în mod deliberat? 


(DISPONIBILITATE, INTEGRITATE) 


Divulgare, pierdere sau 
deteriorare 


Da / Nu 


Divulgare, pierdere sau 
deteriorare 


Da / Nu 


Divulgare / Integritatea 
Informaţiei 


1. Sentiment de culpabilitate 
fata de organizaţie 


Intreruperea serviciilor 


1. Plata cu întârziere a 
facturilor / salariilor 


2. Pierderea credibilitatii 
pentru organizaţie 


2. Incapacitatea de a colecta 
venituri 
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3. Compromiterea 3. Perturbarea serviciilor 


informaţiilor confidentiale ale catre guvern 
organizaţiei 

4. Compromiterea 4. Perturbarea serviciilor 
informaţiilor clientului către public 


sau ale unei terţe parti 


5. Compromiterea 5. Perturbarea serviciilor 
informaţiilor personale interne 


6. Compromiterea 
informaţiilor de interes 
naţional 


7. Implicații juridice / 
răspunderea pentru daune 
compensatorii şi punitive 


Există proceduri de urgenţă pentru a asigura recuperarea informaţiilor? 
(DISPONIBILITATE, INTEGRITATE) 


Proceduri de Da / Nu Necunoscut Comentarii 
recuperare 


Back-up 


Stocare în altă locaţie 


Alte metode 


8. Care este perioada de recuperare maximă pe care organizaţia o poate tolera pentru 


indisponibilitatea aplicaţiei sau a serviciului (în cazul în care este limitată pentru 
anumite perioade, indicaţi)? 
(DISPONIBILITATE) 


Ore Zile Saptamâni Luni 


Comentariu: 


9. Indicati gradul de sensibilitate a informaţiilor 
(5: foarte critic; 4: critic; 3: sensibil; 2: oarecum sensibil; 1: non sensibil 


Disponibilitate Integritate Confidentialitate 


10. 


11. 


Estimati costurile de oportunitate a inlocuirii informatiilor, atat directe, cat si 
indirecte (ore, cheltuieli) 


Costuri de inlocuire Ore Cheltuieli 


Directe (timpul consumat cu 
restaurarea / recuperarea 
informatiilor, hardware si 
software) 


Indirecte (de exemplu, 
intarzierile cauzate de alte 
sarcini, alte parti implicate in 
procesul de recuperare, 
oportunitati pierdute din 
cauza pierderii informaţiilor 
etc.) 


Indicati clasificarea / desemnarea securitatii informatiei pentru pentru aceasta 
aplicatie / sistem informatic: 


% informatii 
Standarde de securitate de baza (neprecizate) 
Protejate (desemnate) 


Clasificate 
100% 
Completat de: Filiala / Grup: 
Informaţii proprietar 
(de exemplu, directorul executiv) aprobat de Data: 
Grup de securitate aprobat de Data: 
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ANEXA F — Diagrama ratei expunerii 


Impact = 
Probabilitate Foarte grav Grav Mai putin grav 
MARE (High) 7 R i 
MEDIE (Med) ; A 7 
SCĂZUTĂ (Low) : P | 


(Grafic dezvoltat de către Royal Canadian Mounted Police) 


Rata expunerii: Mare (9,8,7) Medie (6,5,4) Scăzută (3,2,1) 
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ANEXA H - Amenintari de bază şi măsuri de securitate 


Acest document oferă o listă de ameninţări şi de contramăsuri defalcate pe categorii de active. 
Aşa cum a fost prezentat în secţiunile anterioare, aceste ameninţări corespund de multe ori 
unor vulnerabilitati. Contramăsurile sunt controalele sau măsurile de securitate care pot fi 
folosite pentru a corecta sau a minimiza slăbiciunile de securitate. 


În text, menţionarea acţiunilor disciplinare ca o posibilă contramăsură de descurajare a acţiunii 
necorespunzătoare a personalului ar trebui să fie văzută într-un context mai larg. Măsurile 
disciplinare ar trebui să fie avute în vedere sau utilizate numai atunci când alte măsuri cum ar fi 
cele de sensibilizare şi de formare nu au reuşit să prevină acţiuni inacceptabile sau 
comportamentale. Soluţii bune de securitate sunt cele pe care personalul le acceptă cu 
uşurinţă. 


La sfârşitul listei a fost inclus un index pentru toate activele sau termenii pentru care au fost 
prezentate amenințările şi contramăsurile. 


În text, pentru fiecare activ, au fost asignate următoarele semnificaţii: 


T = Amenintare 
C = Contramăsură (control sau măsură de securitate) 
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Resurse umane 


Personal propriu 


General 

Personal cheie 

Personal pentru introducere date 
Personal pentru interogări 

Personal pentru manipularea ieşirilor 
Programatori 

Analişti 

Personal pentru asigurarea suportului tehnic 
Programatori de sistem 

Personal pentru controlul schimbărilor 
Bibliotecar pentru mediile de stocare 
Personal pentru controlul accesului logic 
Personal pentru controlul accesului fizic 
Auditori 

Proprietarii datelor 

Utilizatorii datelor 

Custozi ai datelor 


Personal contractual 


Personal de întreţinere 
Consultanti 


Persoane externe 


Vizitatori 
Intruşi 


Locaţia / Sediul 
Camere cheie 
Introducere date / actualizare 
Prelucrare 
Imprimare 
Stocare 
Interogare 


Comunicaţii 
Operarea aplicaţiilor sistemului în mediul de producţie 


Dezvoltarea aplicaţiilor 
Funcţii de sistem 
Instalaţii 

Papetărie 

Gătitul şi fumatul 
Papetărie valoroasă 


Documentaţie 


Software 
Hardware 
Proceduri 


Planul de urgenţă 
Planurile etajelor 
Diagramele de cablare 
Dicţionarul de date 


Mediu 
Aer condiţionat 
Putere electrică 
Apă 
Iluminat 


Deşeuri 
Hârtie 
Suporturi magnetice de 
Medii optice 
Papetărie 


INDEX ALFABETIC 
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Hardware 


Comunicaţii 


Linii telefonice 


T 
C 


O — 


Liniile telefonice pot fi tăiate sau distruse. 
Configurarea unor linii alternative pentru conexiunile cheie. 


Liniile telefonice pot fi interceptate. 
Folosiţi linii private atunci când este posibil. 
Evitaţi rutarea liniilor cheie prin zone publice. 
Luaţi în considerare conducte sigilate pentru cabluri. 
Asiguraţi acele cablurile care ies din cladire prin subteran. 
Evitati să faceţi vizibile cablurile de date prin rutare separată sau etichetare 
Dacă veţi eticheta liniile telefonice, etichetati-le pe toate şi nu doar liniile de comunicaţii 
cheie. 
Luaţi în considerare criptarea pentru transmiterea informaţiilor sensibile. Dacă veţi 
utiliza criptarea, luaţi în considerare următoarele: 
Criptati atât cheile cât şi datele. 
Folosiţi un algoritm de criptare care respectă standardele industriale. 
Luaţi în considerare utilizarea cheilor de tip "o data" pentru a limita posibilitatea 
de a afla orice cheie. 
Folosiţi chei având 6 caractere sau mai mult care să nu fie de tip cuvânt. 


Porturi de intrare / ieşire 


T Controlul asupra funcţiilor este compromis prin schimbarea conexiunilor portului. 

C Pastrati dulapurile cu conexiune în zone sigure în cazul în care vă bazati pe funcţii de 
restrictionare pentru terminale conectate la anumite porturi. 

Modemuri 

T Modemurile pot fi utilizate pentru a obţine accesul neautorizat la sistem. 

C In general, nu atasati modemuri pentru a linii de tip dialin. Dacă există o nevoie de 


facilitatea dialin, asiguraţi accesul numai la un site central care este protejat prin 
firewall. Restrictionati apelantul la aplicaţiile foarte specifice, printr-un mediu de 
protecţie. Furnizati apelantului sesiuni "terminal" şi nu sesiuni "gazdă" sau sesiuni de 
acces de la distanţă, deoarece acestea pot oferi accesul deschis la informaţiile 
sensibile din microcalculator sau din reţea. 

Luaţi în considerare utilizarea criptării pentru transferul şi stocarea datelor sensibile. 
Caracteristicile call-back sunt de obicei prea restrictive pentru auditori care sunt in mod 


constant in miscare in mediu si pot provoca probleme administrative. 
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T Modemurile pot fi utilizate pentru transferul neautorizat de informatii in afara 
organizatiei. 

C Păstraţi numărul de modem-uri la un nivel minim, monitorizati folosirea liniilor pentru 
care modemurile sunt ataşate, dezactivaţi liniile de modem în afara orelor de program. 


Poşta electronică 


T Posta electronica poate fi utilizata pentru transferul neautorizat de informatii in afara 
organizatiei. 
C Pastrati copii ale tuturor mesajelor de poştă electronică trimise şi păstraţi înregistrările 


aferente expeditorului şi destinatarului. 
Nu faceţi verificări la faţa locului cu privire la conţinutul mesajelor de poştă electronică. 


Folosiţi programe de căutare pentru a găsi cuvinte cheie în poşta electronică 
Faceţi verificări încrucişate privind expeditorii şi destinatarii pentru a stabili orice model 
suspect. 


[Avertisment: În unele tari, cenzurarea poştei electronice poate fi ilegală sau poate face 
obiectul legislaţiei speciale]. 


Buletin electronic informativ 


T Buletinul electronic informativ poate fi utilizat ca un mijloc de a transmite informatii in 
afara organizatiei. 
C Routaţi toate conexiunile la Buletinul electronic informativ printr-un punct central. 


Utilizati cititoare off-line pentru a extrage mesajele şi răspunsurile la acestea. Acest 
lucru vă va permite sa monitorizati traficul la şi de la Buletinul electronic informativ în 
acelaşi mod ca în cazul poştei electronice. 


T Software-ul rau intentionat continand virusi sau troieni poate fi primit de la Buletinul 
electronic informativ. 
C Toate cererile pentru descarcarea de fisiere de pe Buletinul electronic informativ ar 


trebui sa fie dirijate printr-o unitate centrala de specialitate. Fisierele descarcate ar 
trebui sa fie verificate cu atentie pentru detectarea virusilor etc 


Serviciul Postal 


T Software rau intentionat a fost gasit pe discuri trimise prin posta. 

C Introducerea unei proceduri care să instituie o sancţiune disciplinară pentru cei care 
utilizează un disc înainte ca aceasta să fi fost testat de către personalul care asigură 
suportul tehnic. 


T Serviciul postal poate fi folosit pentru a transmite informatii din organizatia 
dumneavoastra. 
C Inregistrati documentele şi discurile care contin informaţii sensibile şi implementati 


proceduri pentru a controla copierea acestora. 
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Cablajul reţelei 


T 


C 


Cablurile de reţea pot fi exploatate pentru a fura informaţii sau pentru a introduce 
mesaje ilicite. 

Nu dirijaţi traseul cablurilor de reţea prin zonele accesibile publicului. Luaţi în 
considerare utilizarea de conducte de cablu blocate. Examinati întotdeauna lungimile 
de cablu, care au fost menținute de ingineri. Luaţi în considerare utilizarea criptării 
pentru anumite parti din reţea care transportă informaţii sensibile. 


Rețelele pot fi vulnerabile la eşec în cazul în care o secţiune a cablării acestora este 
ruptă. 

Proiectaţi reţeaua pentru a minimiza impactul eşecului oricărei lungimi de cablu. Luaţi 
în considerare duplicarea cablării pentru legăturile cheie. 


Calculatoare 


Terminale 


T 


C 


Accesul neautorizat la date poate fi obţinut de la tastatura unui microcalculator sau de 
la orice terminal dintr-o reţea. 

Sistemul de operare şi software-ul de aplicaţie ar trebui să utilizeze identificarea şi 
autentificarea pentru a se asigura că cererile de acces provin de la persoane fizice 
autorizate. Toate acţiunile care ar putea avea un efect semnificativ asupra afacerii ar 
trebui să facă obiectul conectării. Combinatia dintre identificare, autentificare şi logare 
constituie baza pentru stabilirea răspunderii. 

În cazul în care parolele sunt utilizate pentru autentificare acestea ar trebui să aibă o 
lungime de 6 sau mai multe caractere şi ar trebui să nu se reconstituie în cuvinte din 
dicţionar. Pentru a evita alegerea de parole triviale sau duplicat, este cel mai bine ca 
parolele să fie generate de calculator. Dacă veţi utiliza parole generate de calculator, 
este important ca acestea să fie pronuntabile, astfel încât oamenii să şi le poată aminti 
fără a le scrie. 

Incercati să utilizaţi o parolă unică pentru fiecare individ în cazul in care este posibil. 
Mai multe parole sunt mai greu de reţinut şi poate determina oamenii să le scrie, fapt 
care constituie o breşă a securităţii. 

Parolele ar trebui să fie schimbate în mod regulat. Cu cât funcţiile pentru care parolele 
oferă acces sunt mai critice, cu atât, parolele pentru acestea ar trebui să fie schimbate 
mai des. Pentru tranzacţiile cheie, ar putea fi justificată utilizarea parolelor numai o 
dată. Motivul pentru schimbarea frecventă a parolelor / cheilor de criptare este acela 
de a reduce daunele care ar putea fi cauzate de către o persoană neautorizată care a 
găsit o parolă. 


Un terminal care este lăsat conectat la un sistem este o invitaţie pentru cineva de a se 
substitui în operatorul care a fost conectat. 

Procedurile ar trebui să considere ca fiind o abatere disciplinară părăsirea un terminal 
deblocat, conectat şi nesupravegheat. Sistemul de operare / aplicaţiile software ar 
trebui să deconecteze terminalele după o scurtă perioadă de inactivitate sau să le 
blocheze automat, astfel încât orice activitate ulterioară să necesite reintrarea cu 
identificare şi detalii de autentificare. 
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Datele cu caracter critic pot fi modificate prin orice conexiune locală sau prin modem la 
sistemul informatic. 

Controalele de identificare şi de autentificare contribuie într-o oarecare măsură la 
reducerea riscului de modificări neautorizate ale datelor critice. Modificările datelor 
cheie ar trebui să fie supuse confirmării unui supraveghetor, în plus fata de controalele 
normale. 


Microcalculatoare 


T 
C 


O — 


Microcalculatoarele sunt uşor de furat. 

Marcati toate microcalculatoare şi perifericele astfel încât codurile de identificare să nu 
poată fi şterse. Păstraţi un inventar al tuturor microcalculatoarelor şi verificaţi-l în mod 
ciclic. 

Cumparati microcalculatoare cu un dispozitiv de blocare care dezactivează tastatura şi 
previne violarea accesului. 

Introduceţi un sistem de logare la calculatoare în interiorul şi din exteriorul clădirii. 
Agenţii de pază trebuie să fie instruiți să facă verificări la fata locului pentru a se 
asigura că personalul nu transportă calculatoare, periferice sau consumabile din incinta 
organizaţiei, fără autorizaţie. 

Pozitionati microcalculatoarele astfel încât acestea să nu fie vizibile din zonele publice. 


Microcalculatoarele pot deveni indisponibile din cauza pierderii cheilor acestora. 
Pastrati una dintre cheile de la fiecare microcalculator intr-un cabinet încuiat, in zona 
de suport tehnic. 


Microcalculatoarele sunt deosebit de sensibile la software rău intenţionat, cum ar fi 
viruşi şi troieni, deoarece utilizatorul poate copia uşor programele de pe calculator, 
folosind dischete. Software-ul rău intenţionat poate fi, de asemenea, introdus 
accidental de pe dischete provenind din medii necontrolate, şi de la medii de 
distribuţie, cum ar fi distribuitori de software înregistrat pe CD-ROM. 

Implementati proceduri care să considere infracţiune disciplinară folosirea oricărui 
program de pe un calculator, înainte ca acesta să fi fost testat de către personalul care 
asigură suport tehnic. 

Efectuaţi salvarea frecventă a datelor critice şi a software-ului esenţial. Personalul care 
asigură suport tehnic ar trebui să ţină evidenţa software-ului autorizat pentru utilizare 
pe fiecare staţie de lucru şi să efectueze controale inopinate la fata locului pentru a se 
asigura că personalul nu foloseşte software neautorizat. 

Luaţi măsuri de precauţie speciale pentru CD-ROM, deoarece acestea pot fi infectate 
de virus, la fel ca orice alte mijloace media, dar nu pot fi curățate. 


Microcalculatoarele nu sunt, în general, rezistente la căderi. 


Elaborati şi testati planuri de urgenţă pentru a face fata lipsei oricărui microcalculator 
care susţine funcţiile critice. 
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Microcalculatoarele sunt utilizate şi întreţinute de către utilizatori, mai degrabă decât de 
personal de specialitate. Rezultatul este că nevoia de salvare şi de securitate este 
adesea trecută cu vederea. 

Cumparati benzi de volum mare pentru calculatoarele utilizate, pentru a stoca volume 
mari de informaţii volatile. 

Implementati proceduri de sensibilizare şi organizaţi cursuri de formare pentru a 
conştientiza personalul în legătură cu necesitatea copiilor de siguranţă, cu manipularea 
corectă a echipamentelor şi cu regulile privind securitatea. 


Microcalculatoarele pot fi folosite pentru a introduce software ilicit în reţea, deoarece 
acestea au unitate de dischete. 

Permiteti transferul fişierelor în reţea numai în cazul în care aceasta este esenţial. 
Faceţi imposibil transferul fişierelor "executabile”. 

Implementati proceduri care să considere infracţiune disciplinară pentru utilizatori, 
transferul de programe către sau din reţea. 

Utilizati staţii de lucru fără unităţi de dischete, cu excepţia cazului în care dischetele 
sunt esenţiale. 


Staţii de lucru fără disc 


T 
C 


Stațiile de lucru pot fi mutate. 

Dacă sistemul dvs. de control al accesului se bazează pe restricționarea funcțiilor la 
terminale particulare, atunci va trebui să implementati proceduri care să interzică 
utilizatorilor să mute maşinile din locurile unde au fost amplasate. Altfel, există riscul ca 
un terminal să fi mutat dintr-o zonă de siguranţă într-o zonă mai puţin sigură. 


Servere de fişiere 


T 
C 


Calculatorul poate cădea, făcând sistemul indisponibil. 

Implementarea procedurilor de backup şi a unei strategii de recuperare în 
eventualitatea eşecului unui server de fişiere. Trei exemplare ale copiei backup ar 
trebui să fie păstrate în interiorul locației în care funcţionează sistemul şi un exemplar, 
în afara locației. Natura şi frecvenţa efectuării copiilor de backup va varia în funcţie de 
caracterul critic al aplicaţiilor susţinute de serverul de fişiere. În multe cazuri, norma 
este de efectuare săptămânală a unui backup complet şi de efectuare zilnică a backup- 
urilor incrementale. Backup-uri automate se poate face în afara orelor de program, 
efectuarea backup-urilor complete fiind la fel de uşoară ca şi a celor incrementale. 
Dublarea memoriei de stocare şi de prelucrare poate fi necesară pentru serverele de 
fişiere care suporta aplicaţii critice. 


Minicalculatoare şi calculatoare mari 


T 
C 


Căderea calculatoarelor poate afecta mai multi utilizatori. 

Stabilirea şi de testarea unei strategii de backup. 

Luaţi în considerare dublarea capacităţii de depozitare şi prelucrare pentru aplicaţii 
cheie. 


Dispozitive de intrare 
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Scanere 


T Imaginile scanate ale documentelor sensibile pot rămâne stocate în unităţile de scaner 
partajate. 
C Sfârşitul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document 


care nu este sensibil. Utilizatorii ar trebui să fie familiarizați cu funcţiile software-ului de 
scanare. Ştergerea fişierelor temporare create în timpul procesului de scanare, de 
exemplu, fişierele de pe hard disk care au fost copiate pe o dischetă. 


Dispozitive de ieşire 


Generale 

T Dispozitivele de ieşire pot radia semnale electromagnetice care pot fi decodificate de la 
distanta. 

C Parcarea interzisă a vehiculelor în zonele adiacente camerelor folosite pentru producţia 


de date sensibile. 

Luaţi în considerare necesitatea unui echipament de tip "furtună fonică". 

Luaţi în considerare instalarea de generatoare de zgomot alb pentru a masca 
semnalele de la echipamentele folosite pentru producţia de materiale sensibile. 


T Daca dispozitivele de iesire sunt vizibile dintr-o zona publica, atunci informatiile pot fi 
divulgate. 
C Evitati poziţionarea dispozitivelor de ieşire, astfel încât personalul neautorizat / din 


exterior să nu poată citi ieşirile. 


Burster? 

T Papetaria (hartia) stricata poate fi utilizata pentru un castig financiar sau ca mijloc de a 
transmite informatii sensibile la exterior. 

C Introduceţi un sistem de evidenţă pentru papetăria sensibilă. Exemplarele deteriorate 
ar trebui să fie semnate de către supervizor şi trimise pentru distrugere / evacuare 
securizată. 

T Bursterul contine multe piese in miscare care sunt predispuse la deteriorare. 

C Asiguraţi-vă că bursterele sunt întreţinute în mod regulat. 


Stabiliti proceduri alternative pentru aplicaţiile critice care urmează să fie susţinute intr- 
un alt mod dacă un anumit burster nu mai funcţionează. 


” Burster - dispozitiv care rupe o hărtie continuă de imprimantă în pagini individuale (separator de hârtie continuă 
— cu perforatii laterale) 
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Enveloperi0 


T Enveloper-ul trebuie sa fie setat la inceputul fiecarei executii. Exista riscul ca papetaria 
deteriorata sa poata fi folosita pentru castiguri financiare sau pentru a transmite 
informaţii către exterior. 

C Introduceţi un sistem de evidenţă pentru papetăria sensibilă. lesirile stricate ar trebui 
să fi semnate de către un supervizor şi maruntite. Cererile pentru duplicarea ieşirilor 
stricate ar trebui să fie semnate de către supervizor. 


Imprimanta cu laser 


T lesirea pe imprimanta cu laser poate fi deteriorata in cazul in care ansamblul nu 
functioneaza corect. 
C Introducerea de controale regulate de ieşire pentru a se asigura că tonerul şi hârtia 


sunt disponibile. 


T Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi 
nedorit in cazul in care informatia de iesire este sensibila. 

C Asiguraţi-vă că software-ul stabileşte numărul de exemplare înainte de tipărirea fiecărei 
pagini. 


Imprimanta de impact 


T Riboanele (panglicile) pot pastra imaginea caracterelor care au fost tiparite. 

C Trimiteţi panglicile utilizate la aplicaţii sensibile, la dispozitive de incinerare. 

Plotter 

T Plotterele pot produce informatii care induc in eroare in cazul in care penitele sunt 
uzate, lipsesc sau sunt incarcate incorect. 

C Asiguraţi-vă că este desemnat personalul responsabil pentru punerea în funcţiune şi 


menţinerea plotterelor. 
Personalul desemnat trebuie să fie responsabil pentru controlul calităţii producţiei. 


Cozi de ieşire 

T In retelele locale si in mediile cu minicalculatoare, procesul de imprimare a 
documentelor sensibile poate ramane in cozile de iesire, dintr-o varietate de motive. 

C In cazul imprimărilor întrerupte sau incomplete, asigurati-va că a fost ştearsă coada de 
imprimare. 


10 Enveloper — dispozitiv de pliere (împachetare) a hârtiei continue— cu perforatii laterale 
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Monitor pentru afişaj vizual 


T Monitoarele nesupravegheate pot dezvălui informaţii sensibile pentru personalul 
neautorizat sau din exterior. 

C Introducerea procedurilor de albire a ecranelor atunci când acestea nu sunt în uz. 
Personalul ar trebui, de asemenea, să blocheze tastatura atunci când se părăseşte 
staţia de lucru. Unele produse software combină funcţiile de albire a ecranelor şi de 
blocare a tastaturii. 

Fotocopiator 

T Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei 
interesati din afara, sa poata face copii neautorizate ale informatiilor sensibile. 

C Introduceţi proceduri care să considere drept o abatere disciplinară copierea fără 


autorizare a ieşirilor sensibile. 

Limitaţi numărul şi locaţia copiatoarelor „ocazionale”, astfel încât să poată fi 
monitorizată utilizarea. Ele nu ar trebui să fie situate în zonele în care sunt deţinute 
informaţii sensibile. Acestea ar trebuie să fie plasate într-o zonă unde orice persoană 
care utilizează copiatorul să fie vizibilă pentru restul personalului. 


Maşină de scris 


T 
C 


Panglicile pentru maşinile de scris pot reține o imagine a ceea ce a fost scris. 
Folosiţi numai maşini de scris desemnate pentru materiale sensibile şi trimiteţi 
panglicile pentru incinerare. 


Medii de memorare 


Fişiere pe hârtie (dosare) 


T 
C 


O — 


Dosarele pot fi arse sau distruse de apă. 
Pastrati copii ale documentelor esenţiale în dulapuri protejate de foc / apa şi / sau în 
afara locației. 


Fişierele de hârtie pot fi utilizate pentru a sustrage informaţii sensibile. 

Dosarele care conţin informaţii sensibile trebuie să fie înregistrate. Fişierele sensibile 
ar trebui să fie copiate numai de către personalul autorizat, într-o zonă securizată. 
Implementaţi proceduri care considera drept o abatere disciplinară copierea 
neautorizată a fişierelor sensibile. 


Medii magnetice amovibile 


T 


C 


Suporturile magnetice pot fi folosite pentru a transfera volume mari de date în afara 
organizatiei. 

Utilizaţi suporturi magnetice care poartă sigla companiei. Implementaţi proceduri 
pentru toate mediile magnetice care urmează să fie introduse în /şi /sau scoase în 
afara locației. Manipularea si depozitarea benzilor, dischetelor şi hard-discurilor trebuie 
să fie supusă unor proceduri similare cu cele referitoare la documentele pe hârtie. 
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Implementati proceduri care să considere infracţiune disciplinară sustragerea de 
suporturi magnetice din locaţie sau introducerea de suporturi magnetice în locaţie, fără 
autorizaţie. 


Dischetele sunt unul dintre mediile principalele de transmitere a viruşilor de la un 
calculator la altul. 

Verificaţi, toate mediile magnetice formatate, la intrarea în locaţie, dacă sunt virusate. 
Verificaţi în mod deosebit discurile introduse în locaţie de ingineri şi studenţi. Toate 
discurile care sunt verificate ar trebui să aibă o etichetă ataşată cu sigla companiei şi 
semnătura celui care a efectuat testarea şi data. 

Implementati proceduri care să considere drept infracţiune disciplinară pentru personal 
utilizarea de dischete care nu au fost testate. 


Discurile floppy utilizate păstrează informaţiile chiar şi atunci când fişierele sunt şterse 
sau discurile reformatate. 

Dacă dischetele sau cartuşele de bandă sunt folosite pentru a stoca informaţii 
sensibile, atunci ele ar trebui să fie marcate corespunzător şi tratate ca un fişier 
înregistrat pe hârtie. Mediile magnetice, care au fost folosite pentru a stoca informaţii 
sensibile ar trebui sa fie "demagnetizate" / şterse în condiţii de securitate, înainte de a 
fi folosite pentru alte lucrări. Dacă mediile magnetice se deteriorează în timp ce 
depozitează date sensibile, atunci ele ar trebui să fie tratate ca deşeuri confidentiale si 
maruntite sau arse. 


Medii magnetice fixe 


T 


C 


Hard discurile pot conţine cantităţi foarte mari de informaţii. Este uşor să uităm că 
există printre acestea şi fişiere sensibile. 

Când un hard disk este folosit prima dată având destinaţia de a conţine informaţii 
sensibile, acesta ar trebui să fie înregistrat. Acesta nu ar trebui să fie scos din registrul 
cu informaţii sensibile până când nu a fost inspectat de către un membru al 
personalului care asigură suport tehnic. Toate fişierele conţinând informaţii sensibile 
trebuie să fie şterse în condiţii de securitate. 


Controlul accesului la microcalculatoare este mult mai puţin riguros decât pentru un 
sistem în reţea. Dacă hard discurile microcalculatorului sunt folosite pentru a stoca 
informaţii sensibile, există un risc considerabil de modificare sau dezvăluire 
neautorizată. 

Blocati microcalculatoarele atunci când acestea nu sunt in uz. Mentineti nivelul de 
securitate al locației pentru a restricționa accesul la camerele în care sunt instalate 
microcalculatoarele. 

Luaţi în considerare instalarea pachetelor de control al accesului şi al pachetelor de 
criptare a datelor pe calculatoarele folosite pentru a stoca informaţii deosebit de 
sensibile. 

Luaţi în considerare utilizarea discurilor schimbabile, care pot fi închise atunci când 
calculatorul nu este în uz. 


Hard discurile defecte nu pot fi întotdeauna şterse în condiţii de securitate. 
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Dacă un hard disk care deţine informaţii sensibile se defectează, atunci ar trebui să fie 
distrus, în cazul în care nu poate fi şters în condiţii de securitate. 


Discurile fixe se defectează. În cazul în care acestea stochează cantităţi mari de date 
volatile, pierderile pot fi foarte serioase. 

Salvarea unui hard disk mare pe floppy disk-uri este atât de consumatoare de timp, 
încât este puţin probabil care personalul să o facă în mod regulat. Banda de backup de 
mare capacitate face copia rapid şi uşor. Instalati benzi de mare capacitate (tape 
streamer) pe calculatoarele care conţin un volum mare de informaţii volatile pe hard 
diskuri. Benzile de backup ar trebui să fie realizate în trei exemplare. 

Cel putin o copie de rezervă ar trebui să fie păstrată în afara locației. 

Aceasta ar trebui să fie reînnoită ciclic. 

Benzile de backup ar trebui să fie stocate în siguranţă şi marcate ca necesitând condiţii 
de securitate speciale, pentru a reflecta conţinutul lor. 


Medii optice amovibile 


T 
C 


Discurile optice sunt uşor de ascuns şi pot deţine cantități foarte mari de informaţii. 
Discurile optice care deţin informaţii sensibile trebuie să fie numerotate în serie şi 
înregistrate. Singura modalitate sigură de a le distruge este incinerarea. 


Pierderea parţială sau totală a datelor pe discuri optice poate apărea dacă oricare 
suprafaţă a discului este zgariata 

Toate discurile optice ar trebui să fie manipulate cu grijă extremă pentru a preveni 
zgarieturile care pot afecta calitatea de reflexie a discului şi pot "ascunde" o mare parte 
a datelor. În cazul în care tabelul de alocare a fişierelor discului este afectat, discul 
întreg poate deveni imposibil de citit. 


Medii optice fixe 


T 
C 


T 
C 


Discurile optice conțin un volum mare de informaţii şi de multe ori nu pot fi şterse. 
Dacă un disc optic se deteriorează, acesta ar trebui să fie distrus. 


Volumele mari de date conţinute pe discuri optice pot pune probleme pentru backup. 
Cu excepţia cazurilor în care discurile optice deţin date critice care nu se mai regăsesc 
în altă parte, ele nu trebuie să fie duplicate sau salvate. Discurile optice deţin, de 
obicei, informaţii statice, cum ar fi materiale de referinţă sau programe software care 
sunt deja duplicate sau există pe copiile de siguranţă. Dacă nu acesta este cazul, iar 
informaţia este critică, pot fi obţinute duplicate sau informaţiile pot fi puse pe discuri 
optice reinscriptibile. Copiile pot fi, de asemenea, făcute pe bandă, în mod obişnuit. 
Sistemele moderne de backup pe bandă pot oferi acum backup-uri de încredere de 
ordinul gigabyte. Strategiile normale de back-up se aplică pentru exemplarul stocat în 
altă locaţie. 
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Microfilm / microfişă 


T 
C 


Filmul şi fişa pot fi uşor distruse de incendiu şi pot fi pierdute sau furate. 

Nu va bazati niciodată pe o singură copie de film / fişă a datelor cheie. Pastrati copiile 
arhivei într-o locaţie la distanţă. 

Tratati fişa / filmul în acelaşi mod cu fişierele înregistrate. Pastrati-le stocate în 
siguranţă şi înregistraţi data, ora şi numele operatorului pentru cazul în care ar apărea 
probleme. 


Resurse umane 


Personal propriu 


General 


T 
C 


Personalul poate fi necinstit sau poate fi supus şantajului. 

Când personal nou aderă la organizaţie, faceţi investigaţii de rutină pentru a se asigura 
că locurile anterioare de muncă şi istoria educaţională pot fi verificate. 

Personalul cu acces la informaţii cheie ar trebui să fie investigat mai bine, pentru a 
stabili orice antecedente penale sau sociale care ar putea favoriza situaţiile în care o 
anumită persoană ar putea să fie necinstită sau să constituie obiect de şantaj. Acordati 
o atenţie deosebită istoricului financiar, implicării în organizaţii subversive, 
circumstanțelor familiale, istoriei psihologice, precum şi oricăror dovezi privind abuzul 
de droguri / dependenţa. 

Verificările ar trebui sa fie repetate la intervale regulate. Programele de sensibilizare în 
domeniul securităţii ar trebui să sublinieze necesitatea ca personalul să fie vigilent şi să 
pună accent pe avantajul solicitării sprijinului pentru el însuşi sau pentru alţii. 


Separarea inadecvată a responsabilităţilor creează compromisul cu privire la orice 
individ care poate deveni mai vulnerabil, poate ispiti personalul să devină necinstit şi 
poate duce la niveluri ridicate de eroare ale datelor de intrare / actualizare. 

Asiguraţi-vă că există o separare adecvată a sarcinilor între personalul responsabil 
pentru autorizare, introducere de date, chitante, facturi de plată, custodie a 
instrumentelor financiare, personalul de audit, analişti de sistem, programatori, 
personalul de control al schimbării, personalul de control al accesului şi bibliotecarii de 
informaţii. 


Este mult mai probabil ca personalul să facă erori sau să-şi depăşească limitele de 
autoritate în cazul în care răspunderea este inadecvată. 

Asiguraţi-vă că sistemele dumneavoastră de informaţii furnizează suficiente restricţii 
pentru identificare, autentificare şi logare pentru a putea fi stabilită răspunderea. 


Instruirea neadecvata în ceea ce priveşte procedurile operaţionale şi de urgenţă este o 
sursă importantă de erori şi disfunctionalitati de sistem. 

Asiguraţi-vă că toate persoanele care se ocupă cu sistemele informatice beneficiază 
de formare suficientă în domeniul procedurilor operaţionale şi de urgenţă, pentru a 
îndeplini cerinţele impuse de responsabilitatile şi obligaţiile care le revin. 
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T 


Persoanele aflate în poziție de autoritate pot transfera subordonatilor sarcinile 
referitoare la autorizarea tranzacţiilor în mediul informatizat, în condiţiile în care 
acestea nu ar putea face acest lucru într-un sistem manual. 

Stabilirea schemelor adecvate de autorizare pentru documentele electronice. 
Îmbunătăţirea mediului de controale generale cu programe de educaţie şi de 
sensibilizare care îmbunătăţesc conştientizarea, implicarea managementului şi 
supervizarea. 


Personal cheie 


T 


C 


Personalul cheie, care joacă un rol important datorită funcțiilor sau aptitudinilor 
speciale pe care le deține, poate absenta pentru o perioadă lungă de timp. 

Luaţi în considerare alocarea unui personal alternativ sau de rezervă pentru a înlocui 
personalului cheie în caz de nevoie. 


Personal pentru introducere date 


T 
C 


Datele pot fi şterse, modificate sau create incorect. 

Software-ul ar trebui să includă controale de validare pentru toate domeniile cheie, 
verificări privind identificarea şi autentificarea. 

Luaţi în considerare introducerea autorizării şi verificarea pe loturi acolo unde este 
posibil. 


Personal pentru interogări 


T 


C 


Orice persoană care a obtinut drepturi de a efectua o interogare în cadrul sistemului ar 
putea deveni o sursă de dezvăluire neautorizată a informaţiilor. 

Stabilirea răspunderii şi supravegherea sunt principalele mijloace de apărare împotriva 
divulgării neautorizate. Sistemul poate ajuta prin marcarea in mod clar a ieşirilor 
imprimate cu marcaje de confidentialitate corespunzătoare şi asigurarea faptului ca 
acestea sunt direcționate printr-o sectiune de control al ieșirii care poate conecta orice 
ieşire sensibilă. 

Persoanele fizice ar trebui să aibă drepturi de acces minime, în conformitate cu locurile 
proprii de muncă. 

Orice încercări de acces eşuate ar trebui să fie înregistrate şi investigate de auditul 
intern. În cazul în care verificarea totală (100%) este impracticabilă, ar trebui să fie 
selectat un eşantion statistic pentru a garanta că testarea este distribuită uniform în 
timp. Auditul intern sau echipa de audit al sistemului informatic ar trebui să efectueze 
verificările. 


Personal pentru manipularea ieşirilor 


T 


C 


Există riscul ca personalul care manipulează ieşirile din calculator să copieze ieşirea,, 
să le piardă sau să le dirijeze către personalul neautorizat / extern. 

Toate ieșirile sensibile ar trebui să fie dirijate prin secțiuni independente de manipulare 
a ieşirilor, iar personalul implicat în manipularea ieşirilor ar trebui să nu aibă acces la 
copiatoare şi nici dreptul să iniţieze ieşiri. Rolul unic al acestora ar trebui să fie acela 
de a înregistra producerea de ieşiri sensibile şi de a le dirija către destinatarul corect. 
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Programatori 


T Programatorii ar putea compromite controalele sistemelor informatice din mediul de 
producţie. 
C Programatorii nu ar trebui să aibă acces la sistemele informatice din mediul de 


producţie. Personalului implicat în controlul schimbărilor ar trebui să fie responsabil 
pentru copierea de software nou din mediul de dezvoltare în sistemele informatice din 
mediul de producţie. 


T Programatorii ar putea introduce funcţii contrafăcute în software-ul lor, cum ar fi alterări 
ale timpului sau alterări logice. 
C Programarea trebuie să fie modularizată. Fiecare componentă ar trebui să fie supusă 


unei evaluări pentru a se asigura protecţia împotriva introducerii de funcții 
neintentionate prin proiect. 


T Programele pot compromite integritatea sau disponibilitatea sistemelor informatice in 
cazul in care nu sunt testate temeinic. 
C Toate programele trebuie să fie supuse verificărilor unităţii de testare pentru a se 


asigura că rezultatul aşteptat la ieşire provine din intrările validate. Testarea ar trebui 
să fie întreprinsă de personal independent de programator şi ar trebui să fie în mod 
oficial documentată ca parte a procedurilor de control al calităţii. Odată ce o 
componentă a fost testată, programatorul ar trebui să nu mai aibă acces la ea. 


T Programele prost documentate pot fi dificil de mentinut, ceea ce poate compromite 
integritatea sau disponibilitatea sistemelor informatice asociate. 
C Documentaţia ar trebui să fie inclusă în procedurile de control al calităţii. Nici o 


componentă n-ar trebui să fi treacă controlul schimbării până când documentaţia 
aferentă nu este completă. 


T Disponibilitatea sistemelor informatice ar putea fi compromisa daca instructiunile de 
utilizare nu sunt în pas cu programele instalate în mediul de producție. 
C Finalizarea modificărilor documentaţiei de utilizare ar trebui să fie o condiţie necesară 


pentru copierea unei componente noi în mediul de producţie. 


Analişti 

T Disponibilitatea şi integritatea pot fi compromise în cazul in care analiştii fac erori de 
proiectare. 

C Documentaţia de proiectare ar trebui să includă specificaţii care sunt inteligibile pentru 


clienţi. Clienţii ar trebui să fie obligaţi să semneze fiecare etapă în procesul de 
proiectare. Prototipurile pot constitui un mijloc util de confirmare a cerinţelor clientului, 
înainte de trecerea la proiectarea funcţională completă. 


T Analiştii au o perspectivă mai largă privind interacţiunea sistemelor informatice decât 
programatorii. Există riscul ca ei să exploateze înțelegerea lor asupra sistemului şi să 
eludeze controalele. 

C Analistii nu ar trebui să aibă acces la scrierea codului sursă. Ei nu ar trebui să aibă 
acces la compilatoare sau asambloare care le-ar permite să dezvolte propriile aplicaţii. 
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Analiştii ar trebui să nu aibă nici o autoritate de a iniţia sau de a autoriza tranzacţiile 
sensibile. 


Personal pentru asigurarea suportului tehnic 


T 


Personalul care asigură suportul tehnic acţionează în calitate de custozi ai informaţiilor 
care aparţin altora. Există un risc ca acesta să poată iniția schimbări ale informaţiilor 
sau ale programelor sau să producă ieşiri neautorizate. 

Personalul care asigură suportul tehnic nu ar trebui să aibă acces la compilatoare sau 
asambloare care le-ar permite să dezvolte propriile programe. Aceştia ar trebui să nu 
aibă acces la codul sursă al sistemelor informatice aflate în mediul de producţie. 

De multe ori, vânzătorii de sisteme de operare furnizează facilităţi puternice de 
dezvoltare, pentru modificarea in mod direct a programelor sau a datelor. Cereti 
informaţii de la furnizori despre facilităţile care pot fi utilizate pentru a eluda controalele 
de sistem şi stocati-le offline. Utilizarea acestor facilităţi ale sistemului ar trebui să 
solicite introducerea unei parole cunoscute numai de persoane autorizate. Bibliotecarul 
pentru mediile de stocare ar trebui să ia notă de ocaziile când sunt emise utilităţile 
restrictionate. Toate utilizările facilitatilor restrictionate ar trebui să fie înregistrate în 
jurnalul de operaţii al sistemului (log) şi personalul de audit intern / al sistemului ar 
trebui să revizuiască jurnalele păstrate de supervizorul operaţiilor şi de bibliotecarul 
pentru mediile de stocare. 

Dacă pachetul de control al accesului sistemului de operare este suficient de sofisticat 
pentru a impune accesul, copierea şi executarea controalelor asupra facilităţilor 
menţionate, atunci acest mecanism poate fi preferat, mai degrabă decât păstrarea 
offline a facilitatilor. În cazul în care această soluţie este adoptată, personalul de audit 
intern / de sisteme ar trebui să revizuiască drepturile de acces la intervale regulate şi 
să insiste ca utilizatorii privilegiați să aibă parole proprii şi să le schimbe frecvent. 
Parolele folosite pentru accesul la facilităţile de modificare restrictionate ar trebui să fie 
schimbate permanent. 


Programatori de sistem 


T 


Programatorii de sistem sunt responsabili pentru menținerea mediului în care 
funcționează sistemul de operare. Aceasta va include sistemul de operare și, adițional, 
poate include software-ul de management de rețea, sistemele de management al 
bazelor de date, software-ul de procesare a tranzacţiilor şi software-ul de management 
al stocării. Activitatea programatorilor de sistem este de multe ori prost înțeleasă, ceea 
ce ar putea duce la un control slab asupra activităţilor lor. Programatorii de sistem ar 
putea distruge în mod deliberat sau accidental întregul sistem. 

Programatorii de sistem nu ar trebui să aibă acces la codul sursă sau la structurile de 
date al sistemelor din mediul de producţie. Ei nu ar trebui să aibă acces la 
compilatoare sau asambloare în mediul de producţie. 

Software-ul de control al accesului ar trebui să limiteze programatorii de sistem la 
fişierele pentru care au un motiv legitim de a le schimba. Toate activităţile 
programatorilor de sistem ar trebui să fie înregistrate în jurnalul de operaţii al sistemului 
(log). 

Programatorii de sistem nu ar trebui sa aiba acces la software-ul de control al 
accesului sau la fişierele de date. 
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Toate modificările la software-ul sistemului de operare ar trebui să fie întreprinse 
într-un mediu de dezvoltare şi ar trebui să fie supuse unei revizuiri. 

În cazuri rare, când schimbările de urgență trebuie să fie făcute fără un control de 
calitate formal, procesul de revizuire ar trebui să aibă loc după eveniment. 


Personal pentru controlul schimbărilor 


T 


Personalul pentru controlul schimbărilor este responsabil pentru copierea programelor 
şi a datelor din mediul de dezvoltare în mediul de productie. Există un risc că acesta ar 
putea accesa abuziv mediul de producţie, prin alterarea programelor sau a datelor din 
sistem. 

Personalul pentru controlul schimbărilor nu ar trebui să aibă acces la instrumente de 
dezvoltare a programelor care să le permită compilarea programelor proprii. 

Activităţile acestora ar trebui să fie atent monitorizate de către personalul de audit 
intern / al sistemelor. 


Bibliotecar pentru mediile de stocare 


T 


Bibliotecarii pentru mediile de stocare sunt responsabili pentru menţinerea şi emiterea 
datelor şi programelor offline. Dacă ei au acces la sistem, există riscul ca aceştia să 
modifice informaţiile pe care le controlează. 

Bibliotecarii pentru mediile de stocare nu ar trebui să aibă acces la orice software care 
să le permită să manipuleze conţinutul mediilor de stocare aflate în sarcina lor. 


Personal pentru controlul accesului logic 


T 


Personalul pentru controlul accesului logic este responsabil pentru mentinerea 
profilurilor de utilizator care determină cine are acces şi la ce. Există riscul ca acest 
personal să îşi aloce drepturi care sunt incompatibile cu funcţiile lor. 

Schimbările pentru a accesa profilurile ar trebui să fie înregistrate în jurnalul de operaţii 
al sistemului şi personalul pentru controlul accesului ar trebui să fie în imposibilitatea 
de a comuta jurnalul pe log off sau să modifice conţinutul acestuia. 

Personalul de audit intern / al sistemelor ar trebui să revizuiască profilele acces 
acordând o atenţie deosebită drepturilor de acces ale utilizatorilor cu cunoştinţe vaste 
şi ale utilizatorilor care au acces, în special, la programe / date sensibile. 


Personal pentru controlul accesului fizic 


T 


C 


Agenţii de pază trebuie neapărat să aibă acces la zonele sigure în afara orelor de 
program. Există riscul că vor abuza de acest privilegiu. 

Personalul de securitate ar trebui să nu aibă nici un drept de acces la sistemele 
informatice. 

leşirile sensibile ar trebui să fie încuiate departe în afara orelor de program si toate 
terminalele deconectate şi oprite. 


51 


Auditori 


T 


Auditorii cer să aibă acces extins la sistemele informatice şi la registrele de operaţii ale 
sistemului. Există pericolul ca auditorii să compromită integritatea sistemului, în mod 
intenţionat sau accidental. 

Auditorii nu ar trebui să aibă acces la scriere în alte zone decât în cea alocată lor. 
Aceştia ar putea să aibă acces în alte zone doar la citire, în funcţie de nevoile de 
cunoaştere. 


Proprietarii datelor 


T 


Proprietarii unui set de informații sau de date ar trebui să fie personalul care este 
responsabil pentru menţinerea acestora. Proprietarii ar trebui să fie responsabili, în 
primul rând, pentru asigurarea securităţii datelor acestora. Există riscul ca proprietarii 
să abuzeze de privilegiile lor. 

Separarea atribuţiilor pentru personalul care cuprinde proprietarii ar trebui să asigure 
faptul că modificarea, distrugerea, crearea de ieşiri sau de informaţii sensibile necesită 
o cooperare a mai multor persoane. 


Utilizatorii datelor 


T 


Utilizatorii datelor au drepturi de acces la informații acordate de către proprietarii 
datelor. Există riscul că aceştia vor depăşi autoritatea care le este conferită de către 
proprietari. 

Utilizatorilor de date ar trebui să li se acorde drepturile minime în conformitate cu 
nevoia lor legitimă de a avea acces la informaţii. Accesul la informaţiile sensibile ar 
trebui să fie înregistrat în jurnalul de operaţii al sistemului, şi orice acţiuni neobişnuite 
să fie investigate. 


Custozi ai datelor 


T 


Custozii de date sunt cei responsabili pentru mentinerea infrastructurii care sustine 
accesul la informaţii şi măsurile de securitate prevăzute de către proprietari. Există 
riscul ca aceştia să-şi depăşească autoritatea prin distrugerea accidentală sau 
deliberată, ca şi prin dezvăluire sau modificare a informaţiilor aflate în grija lor. 

Custozii ar trebui să aibă drepturi minime de acces la informaţiile aflate în grija lor. 
Personalul de operare nu trebuie să fie capabil să citească sau să modifice informaţii, 
în scopul de a menţine accesul la acestea. Ei au nevoie doar să ştie că procesul X, are 
nevoie de seturile de date A, B şi C care sunt stocate pe dispozitivul Q. Nu este 
necesar sau de dorit pentru ei ca să cunoască detalii cu privire la funcţia procesului pe 
care acestea îl susţin. Clase speciale de custozi, cum ar fi programatorii de sistem, 
administratorii de date şi administratorii de reţea ar putea avea nevoie de acces la 
citire sau scriere pentru datele din mediul de producţie. Informaţiile deosebit de 
sensibile ar trebui să fie criptate, astfel ca acestea să nu fie dezvăluite personalului 
care asigură suportul tehnic pe parcursul monitorizării reţelei sau al întreţinerii 
sistemului. 

Este recomandabil să se evite angajarea de personal în domeniul operării care are 
cunoştinţe de programare de sistem sau de aplicaţii. Persoanele cu cunoştinţe de 


52 


programare în cod maşină sunt deosebit de periculoase, deoarece acestea ar putea 
dezvolta programe mici, fără a utiliza un asamblor sau compilator. 

În cazul în care este posibil, faceţi imposibilă pentru personalul de operare crearea 
unui fişier executabil. Aceasta este doar o opţiune în cazul în care sistemul de operare 
poate distinge executabilul de alte fişiere, iar sistemul de control al accesului poate 
controla capacitatea utilizatorilor de a schimba statusul fişierelor pe care le creează 
sau le modifică. 


Personal contractual 


Personal de întreţinere 


T Inginerii de întreţinere au adesea o cunoaştere intima a sistemului de operare, precum 
şi a hardware-ului. Acest lucru le poate permite apoi să exploateze "uşile ascunse" 
pentru a compromite securitatea. 

C Inginerii de întreţinere nu ar trebui să fie lăsaţi să lucreze nesupravegheati şi nu ar 
trebui să li se permită să scoată în afara locatiei fişiere care contin informaţii sensibile. 

T Multe sisteme au "utilizatori de întreţinere", cu o parola implicită (default). Acest lucru 
poate fi utilizat pentru a obţine accesul neautorizat la sistem. 

C Cereti sfatul vânzătorului cu privire la utilizatorii şi parolele implicite şi schimbati-le în 
mod regulat şi, în special, după fiecare vizită a inginerului de întreţinere. 

Consultanti 

T Consultantii vor dobândi in mod inevitabil cunoştinţe din interiorul organizației 
dumneavoastră. 

C Consultantii trebuie să fie obligaţi să semneze un acord de nedivulgare. Daca ei au 


nevoie să acceseze sisteme deosebit de sensibile, atunci trebuie să fie supusă 
procedurii de verificare(vetting). 

Schimbati parolele / identificatorul utilizatorului care sunt cunoscute de către consultant 
atunci când contractul încetează. 


Persoane externe 


Vizitatori 


T 


C 


În cazul în care vizitatorii au permisiunea de a vedea domeniile în care există informații 
sensibile sau are loc prelucrarea, acest lucru ar putea compromite securitatea. 
Vizitatorii ar trebui să fie obligaţi să poarte ecusoane de identitate şi personalul ar 
trebui să fie instruit să-i semnaleze pe cei pe care nu-i recunosc sau care nu poartă un 
ecuson. În medii sigure, vizitatorii ar trebui să fie însoţiţi în permanenţă. Tineti vizitatorii 
departe de zonele sensibile. În cazul în care aceştia au nevoie să vadă informaţii 
sensibile, cereti-le să semneze acorduri de non divulgare şi asigurati-va că ei nu vad 
mai mult decât este necesar. 
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Intruşi 


T Intruşii pot compromite confidentialitatea, integritatea şi disponibilitatea sistemului 
informatic. 

C Straturile multiple de securitate oferă cea mai bună protecţie. Evitaţi publicitatea. Faceţi 
dificilă penetrarea perimetrului de securitate. Instalaţi echipamente de detectare a 
intruşilor. 

Blocati camerele care oferă acces la instalaţiile sensibile. Utilizaţi controlul accesului 
pentru a face dificilă utilizarea sistemelor informatice, chiar daca un intrus câştigă 
acces la un terminal. 

Bunuri fizice 

Clădiri 

Locaţia / Sediul 

T Exista riscul ca locatia/sediul sa fie deteriorata/deteriorat fizic. Riscurile specifice care 
afecteaza locatia vor depinde de circumstantele locale. 

C Planurile de urgenţă ar trebui să fie elaborate, acestea incluzând un plan pentru 
continuarea funcţiilor critice în caz de deteriorare sau distrugere a locației. Planurile de 
urgenţă ar trebui să fie testate anual. 

T Intruşii pot penetra locaţia si ar putea compromite disponibilitatea, integritatea sau 
confidentialitatea sistemelor informatice. 

C Nivelul fizic de securitate al locatiei ar trebui sa fie in concordanta cu valoarea medie a 
sistemelor informatice pe care le găzduieşte. Aplicațiile deosebit de sensibile pot fi 
asigurate prin furnizarea unor niveluri mai ridicate de securitate pentru locaţiile care le 
găzduiesc. Securitatea de bază a locației ar trebui să includă agenţi de pază care 
monitorizează oamenii care intră şi ies din clădire. Ferestrele de la parter ar trebui să 
fie încuiate atunci când camerele nu sunt nesupravegheate şi dotate cu sisteme de 
alarmă pentru intruşi 
Parcarea publică nu ar trebui să fie permisă în zonele adiacente instalaţiilor critice. 
Uşile de incendiu trebuie să se deschidă spre exterior şi să fie dotate cu şuruburi de 
sticlă şi alarme legate la un panou de control central aflat în biroul poliţiştilor de 
securitate 

T Locatiile care sunt folosite pentru a sprijini funcţiile critice, si care sunt bine 
mediatizate sunt deosebit de vulnerabile. 

C Pastrati activele care susţin funcţiile critice în locuri care nu atrag atenţia. Incercati să 
evitati publicitatea inutilă. 

În cazul în care detaliile din locaţie devin cunoscute, sunt necesare măsuri mai extinse 
de securitate pentru a compensa riscurile sporite. 

T Locatiile din apropierea zonelor dens populate sunt mult mai susceptibile de a suferi de 
pe urma efectelor perturbatiilori civile. 

C Locaţia care găzduieşte sistemul informatic cheie ar trebui să fie situată departe 


aglomeratiile urbane, dacă este posibil. 
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Locatiile educaţionale sunt deosebit de vulnerabile la furt şi la tentativa de penetrare a 
sistemului. 

Controalele fizice şi logice de acces sunt adesea slabe în locaţiile educaţionale. 
Asiguraţi-vă că zonele care conţin bunuri care sunt atractive şi portabile sunt garantate 
pentru un nivel mai ridicat decât nivelul de bază. Răspunderii privind controalele ar 
trebui să i se acorde o prioritate înaltă pentru sistemele cheie accesibile din locaţiile 
educaţionale. 


Camere cheie 


Introducere date / actualizare 


T 


C 


Zonele în care informaţiile sunt introduse sau menținute sunt puncte focale pentru 
amenințările la confidentialitatea şi integritatea sistemelor informatice. 

Zonele de introducere a datelor ar trebui, în cazul în care este posibil, să fie 
inaccesibile personalului care nu are o nevoie legitimă de a merge acolo. 

Terminalele cu acces la facilităţile restrictionate referitoare la actualizarea informaţiilor 
critice, nu ar trebui să fie vizibile din zonele publice. Ele nu ar trebui să fie lăsate 
nesupravegheate şi conectate. 

Aplicațiile care actualizează informaţii cheie ar trebui să închidă sesiunile în cazul in 
care nu a existat nici o activitate la tastatură timp de câteva minute. 

În cazul în care informaţiile au implicaţii pentru sistemele informatice cheie, aplicaţia ar 
trebui să repete la intervale regulate identificarea şi să facă verificări de autentificare 
iar toate modificările care sunt făcute să fie înregistrate în jurnalul de operaţii al 
sistemului. Pentru informaţii deosebit de sensibile, luaţi în considerare ca la instalarea 
aplicaţiei să se includă setări adecvate, astfel încât schimbările să nu poată fi finalizate 
fără confirmarea din partea unei persoane autorizate. 


Prelucrare 


Zonele în care informaţiile sunt procesate pot oferi oportunități extinse de a corupe, 
perturba sau de obţinere a accesului la sistemele informatice. 

Restrictionati accesul prin punerea în aplicare a procedurilor de separare a atribuţiilor, 
acolo unde este posibil. 


Calculatoarele mari au de multe ori cele mai exigente cerinţe de mediu. 

Acest lucru a dus la o izolare naturală a echipamentelor cheie de personalul care nu 
este implicat în exploatarea acestora. La fel, calculatoarele mici au devenit mai 
puternice în momentul în care aplicaţiile cheie au fost transferate pe ele. Calculatoarele 
mici pot opera de obicei, într-un mediu de birou obişnuit. Utilizarea prelucrării 
distribuite, în unele cazuri, a condus la dependenţa sistemelor informatice de un număr 
mare de calculatoare mici, dispersate geografic. Reducerea dimensiunilor 
calculatoarelor a condus la o neglijare a necesităţii de a proteja echipamentele cheie, 
făcându-le vulnerabile la abuzul fizic şi la deteriorarea mediului. 

Calculatoarele care susţin funcţii cheie ar trebui să fie izolate fizic de mediul de birou. 
Luaţi în considerare necesitatea de a proteja sursa de alimentare a oricărui calculator 
care joacă un rol esenţial în sistemele informatice critice. 
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Imprimare 


T 


leşirile sensibile ar trebui să fie dirijate prin zone sigure, astfel încât să poată fi 
monitorizate şi, eventual, înregistrate în jurnalul de operaţii al sistemului. În cazul 
materialelor financiare mobile, pierderea ar putea apărea de la furtul ieșirii. În cazul în 
care valoarea ieşirii constă în necesitatea confidentialitatii, de pierderi poate să fie 
responsabil cineva care a văzut pur şi simplu ieşirea, fără a o fi extras neapărat. 
Accesul la camerele utilizate pentru producţia de informaţii valoroase sau sensibile ar 
trebui să fie limitat la personalul care manipulează ieşiri. Controlul accesului fizic şi 
logic ar trebui să pună în aplicare separarea sarcinilor între cei responsabili pentru 
manipularea şi înregistrarea ieşirilor şi cei responsabili pentru iniţierea sau autorizarea 
acestora. 


Stocare 


T 


Zonele în care informația este stocată pot prezenta o tintă atractivă pentru cineva care 
încearcă să obțină acces neautorizat, deoarece o mulțime de informații sunt colectate 
împreună. 

Informatiile sensibile ar trebui să fie stocate în arhive securizate / biblioteci. 

Accesul ar trebui să fie limitat la bibliotecari, care ar trebui să verifice autorizarea 
personalului care solicită accesul, iar informațiile emise să fie înregistrate în jurnalul de 
operații al sistemului. 


Încrederea în copiile informatiilor arhivate unic vă face vulnerabili în faţa pierderii 
integrităţii şi disponibilitatii informaţiilor. 

Adoptarea unei politici de backup care să garanteze că cel puţin două exemplare ale 
copiilor conţinând informaţii cheie sunt deţinute în locaţii dispersate geografic. 
integritatea arhivelor care pot fi citite automat trebuie să fie verificată la intervale 
regulate şi orice arhivă pe mediu magnetic ar trebui să fie copiată (reîmprospătată) cel 
putin o dată la trei ani. 


Interogare 


T 


C 


Camerele în care se operează interogări sunt deosebit de vulnerabile la amenințările 
care ar putea compromite disponibilitatea sau integritatea sistemelor informatice. 

Luaţi în considerare planurile de urgenţă care ar permite personalului care se ocupă cu 
interogarea să continue satisfacerea cerințelor esenţiale în cazul în care sistemele 
informatice sau hardware-ul suport al acestora au devenit indisponibile. 


Camerele care sunt utilizate ca centre de manipulare a interogărilor pot fi în mod 
particular vulnerabile la amenințările la adresa confidenţialităţii informaţiilor. 

Ar trebui stabilite proceduri care să precizeze condiţiile pentru furnizarea fiecărei clase 
de informaţii şi a oricăror nevoi de a înregistra emiterea de informaţii. Accesul în zonele 
care se ocupă cu interogările sensibile ar trebui să fie restricţionat. 

Software-ul ar trebui să deconecteze automat personalul, în cazul în care nu există nici 
o activitate la tastatură într-un termen specificat. 
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Răspunderea este un aspect esenţial al controlului interogărilor. Poate fi la fel de 
important să se poată stabili ce au făcut indivizii şi să se restrictioneze activităţile pe 
care aceştia le pot întreprinde. 

Aceasta poate reduce amenințările la adresa confidentialitatii în cazul în care facilităţile 
de interogare sunt dispersate fizic. De exemplu, stabiliţi un grup de personal 
responsabil pentru a răspunde la toate interogările referitoare la persoane fizice ale 
căror nume de familie încep cu litere între A şi D şi alte grupuri responsabile pentru 
alte litere. Fragmentând capacitatea de a accesa informaţii şi de a le aranja în ordine, 
se poate reduce vulnerabilitatea la abuzuri. 

Informaţiile deosebit de sensibile, trebuie să solicite autorizarea de la un al doilea 
operator / supervizor, înainte de a fi dezvăluite. Terminalele de interogare trebuie să fie 
situate astfel încât să nu poată fi privite din zonele publice şi astfel încât operatorii să 
nu poată citi ecranele unii altora. 


Comunicaţii 


T 


Camerele care găzduiesc cutiile cu conexiunile rețelei, rafturile modemurilor, ramurile 
centralei telefonice sau dulapuri cu patch-uri oferă o oportunitate pentru personalul 
neautorizat pentru identificarea echipamentului asociat cu facilități sensibile şi 
perturbarea serviciului sau interceptarea sa. 

Cablurile şi echipamentele de comunicatii ale sistemelor informatice nu ar trebui să fie 
etichetate într-o forma care poate fi citită şi identificată de om. Sunt de preferat etichete 
bazate pe un sistem de codificare a cablurilor. Cheia pentru sistemul de codificare ar 
trebui să fie încuiată în alt birou. În cazul în care cablurile sunt etichetate, acestea ar 
trebui să fie toate etichetate pentru a face mai dificil de depistat traseul urmat de 
conexiunile cheie. 

Cutiile de joncțiune, rafturile modemurilor şi centralele telefonice ar trebui să fie 
securizate. Accesul ar trebui să fie limitat la personalul de întreţinere şi la 
administratorii de reţea. 


Operarea aplicaţiilor sistemului în mediul de producţie 


T 


Accesul la echipamente care rulează aplicaţii în mediul de producţie poate facilita 
eludarea măsurilor concepute pentru a menţine integritatea, disponibilitatea si 
confidentialitatea sistemelor. 

Camerele care găzduiesc echipamente care sunt elemente cheie ale sistemelor 
informatice din mediul de producţie ar trebui să fie accesibile numai pentru personalul 
de operare. 

Separarea sarcinilor ar trebui să asigure că personalul de operare nu este în măsură 
să genereze tranzacţii, să proiecteze sau să dezvolte programe, sau să acceseze sau 
să genereze ieşiri sensibile produse de sistemele pe care le operează. Aceasta din 
urmă este simplificată dacă ieşirea sigură este posibilă doar la dispozitivele din afara 
zonei de operare iar personalului de operare nu îi este permisă intrarea în zona unde 
se află dispozitivele de ieşire. 
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Dezvoltarea aplicaţiilor 


T 


Software-ul de aplicație este potențial cel mai puternic mijloc de a compromite 
integritatea sistemelor informatice. Programatori sau alte persoane cu acces la mediul 
de dezvoltare pot introduce actiuni „sub acoperire” în sistem. 

Programatorii ar trebui să fie alocati să lucreze pe o bază modulară. Fiecare modul 
trebuie să aibă definite intrări şi ieşiri. Revizuirile proprii şi de către unitatea de testare 
ar trebui să asigure protecţia împotriva introducerii de funcţionalităţi „sub acoperire”. 
Personalul de control al schimbării trebuie să fie separat de programatorii de aplicaţii 
atât fizic, cât şi managerial. 

Accesul la camerele care sunt utilizate pentru dezvoltarea de aplicaţii ale unor sisteme 
sigure ar trebui să fie limitat la programatori. Analiştilor şi personalului de control al 
schimbării nu ar trebui să li se permită accesul. 

Controalele stricte privind răspunderea şi un sistem de control al versiunilor puternic ar 
trebui să garanteze că există întotdeauna o înregistrare despre cine a făcut, ce şi când 
s-a făcut. 

Instrumentele de dezvoltare ar trebui să fie indisponibile în afara orelor de program. 


Funcţii de sistem 


T 


C 


Sistemele de diagnosticare şi instrumentele de gestionare pot fi folosite pentru a 
intercepta traficul în reţea şi a eluda controalele. 

Accesul ar trebui să se limiteze la terminalele desemnate şi controalele privind 
răspunderea să fie folosite pentru a monitoriza utilizarea în aceeaşi măsură ca şi 
pentru programatorii de aplicații. Accesul fizic la terminalele sistemului ar trebui să fie 
limitat la personalul care asigură suportul tehnic şi acesta ar trebui să lucreze de 
preferinţă în perechi. 


Instalaţii 


T 


Alimentarea cu curent electric este o resursă cheie pentru sistemele informatice. 
Perturbatiile sursei de energie ar putea distruge informaţii şi, în caz de supratensiune, 
hardware-ul care suportă sistemul. 

Toate activele sistemului informatic ar trebui să aibă surse de alimentare capabile să 
elimine „vârfurile” de tensiune dăunătoare echipamentelor. 

Echipamentele cheie, cum ar fi serverele de fişiere vor avea nevoie de o unitate de 
alimentare neintreruptibilă pentru a se asigura că acestea pot, cel puţin să se oprească 
în siguranţă, în cazul unei întreruperi a alimentării. 

Accesul la camerele cu instalaţii ar trebui să fie limitat la personalul de întreţinere. 


Papetărie 


T 


C 


Formularele goale pot fi esențiale pentru operarea continua a unor sisteme. Licentele 
şi certificatele sunt două exemple. Distrugerea stocurilor ar perturba serviciul. 
Păstrarea copiilor backup ale formularelor esenţiale ar trebui să se facă în orice locaţie 
de prelucrare aflată la distanţă şi la o locaţie alternativă în cadrul locației principale. 
Stocurile ar trebui să fie ţinute la acelaşi nivel de securitate ca stocul principal şi 
depozitarul ar trebui să verifice periodic exhaustivitatea / gradul de utilizare pentru 
stocurile de rezervă. 
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Gătitul şi fumatul 


T 


C 


Gătitul T şi fumatul sunt principalele surse de indisponibilitate a sistemului informatic, 
ca urmare a incendiilor pe care le pot provoca. 

Atât fumatul cât şi gătitul trebuie să fie interzise în zonele adiacente activelor cheie. 
Camerele în care sunt permise ar trebui să fie prevăzute cu echipamente de stingere a 
incendiilor. În special, scrumiere şi pubele speciale ar trebui să fie utilizate în încăperile 
în care fumatul este permis. 


Papetărie valoroasă 


T 


Papetăria care poate fi utilizată pentru un câştig financiar sau ca bază pentru a obţine 
drepturi, cum ar fi permisele de trecere în alb, ordinele de plată sau cecurile, reprezintă 
o ţintă atractivă pentru furt. 

Papetăria sensibilă ar trebui să fie numerotată în serie şi păstrată într-un depozit 
încuiat. Depozitarii ar trebui să răspundă pentru orice probleme, inclusiv pierderi. 
Depuneti eforturi pentru a se asigura ca poate fi întreprinsă o reconciliere, care să 
stabilească răspunderea pentru toate utilizările, în ceea ce priveşte emiterea autorizată 
şi alterarea. 

Camerele de depozitare pentru papetăria valoroasă ar trebui să fie securizate şi 
accesibile numai personalului responsabil desemnat. 


Documentaţie 


Software 


T 


Documentaţia este esenţială în cazul în care software-ul trebuie să fie mentinut. Există 
riscul ca aceasta să fie pierdută, distrusă sau furată. Ar putea fi o motivaţie puternică 
pentru furt în cazul în care software-ul efectuează funcţii care au o valoare comercială 
sau pentru divulgarea informaţiilor brevetate sau sensibile. 

Documentaţia ar trebui să fie examinată ca parte a procedurilor de control al calităţii. 
Odată ce a fost aprobată, copiile înregistrate ar trebui să fie îndosariate de către 
personalul de control al schimbării. 

Copiile de siguranţă ale documentaţiei sistemului din mediul de producţie trebuie să fie 
tinute într-o locaţie aflată la distanţă. 

Documentaţia sistemelor sensibile trebuie să fie tratată similar cu un fişier înregistrat. 
Copiile ar trebui să fie numerotate, copierea interzisă, iar emiterile să se facă în funcţie 
de nevoia de cunoaştere. Copiile ar trebui să fie încuiate atunci când nu sunt utilizate. 


Hardware 


T 
C 


Activele de tip sistem informatic sunt adesea atractive, portabile şi uşor de deteriorat. 
Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui să 
fie păstrat, menţinut şi auditat. 
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Manuale pentru hardware sunt rar necesare, dar esenţiale în ocaziile în care acestea 
sunt necesare. Acestea sunt adesea dificil de înlocuit şi pot conţine informaţii care ar fi 
de folos unei persoane care intenţionează să se infiltreze sistem. 

Păstraţi manualele hardware în biblioteci încuiate sau in zone sigure. Problemele 
legate de manuale ar trebui să fie înregistrate, în special în cazul în care se acordă 
aprobarea de a lua manualul în altă cameră decât aceea care adăposteşte 
echipamentul. Pastrati copii ale manualelor hardware esenţiale într-o locaţie la 
distanţă. 


Proceduri 


T 


Ghidurile de proceduri furnizează personalului informații esențiale care pot fi furnizate 
şi altor persoane, oferind o imagine de ansamblu, care ar trebui protejată, în legătură 
cu modul în care lucrează sistemele. 

Ghidurile de proceduri ar trebui să fie eliberate nominal persoanelor fizice, înregistrate 
şi păstrate în siguranță. Toate manualele ar trebui să fie marcate pe fiecare pagină 
pentru confidentialitate, iar manualele sensibile ar trebui să aibă instrucţiuni pe fiecare 
pagină, care să reflecte clar că nu este permisă copierea. 

Pastrati copii ale manualelor de proceduri în afara locatiei. 


Planul de urgență 


T 


Prin natura lor, planurile de urgență sunt necesare rar şi într-un moment când 
organizaţia este sub stres. Există un risc ca acestea să devin perimate sau pot fi 
indisponibile atunci când apare o situaţie de urgență. În plus, acestea pot fi de folos 
pentru cineva care intenţionează să perturbe serviciile. 

Planurile de urgenţă ar trebui să fie revizuite şi testate la intervale regulate, în fiecare 
an în cele mai multe situaţii, dar mai frecvent în cazul în care disponibilitatea este 
foarte critica. Copii ale sectiunilor relevante ar trebui să fie ţinute în siguranţă in 
locaţiile de backup. 


Planurile etajelor 


T 


C 


Planurile etajelor sunt documente extrem de utile pentru un intrus potențial. 
Pastrati desenele arhitecturale încuiate. Acest lucru este deosebit de important în cazul 
în care desenele au suprapuse informatii functionale. 


Diagramele de cablare 


T 


Diagramele de cablare sunt esenţiale pentru menţinerea sistemelor în reţea. Pierderea 
acestora ar putea compromite capacitatea de a menţine sistemele informatice sau de a 
diagnostica defectele de rețea. Diagramele sunt, de asemenea, foarte utile pentru 
oricine care are interes în infiltrare sau în întreruperea serviciilor informatice furnizate 
de reţea. 

Diagramele de reţea trebuie să fie elaborate şi actualizate ori de câte o nouă rutare 
sau conexiune este introdusă. 

Copii ale diagramelor de cablare trebuie să fie păstrate în locaţiile de backup pentru a 
facilita recuperarea în cazul în care locaţia principală este deteriorată. 
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Accesul la diagramele de cablare ar trebui limitat la personalul cu un interes legitim în 
managementul cablării / administrarea reţelei. 


Dicţionarul de date 


T Dicţionarul de date ar trebui să ofere un index al structurii tuturor sistemelor informatice 
permanente. Este un instrument esenţial pentru dezvoltarea sistemelor informatice noi. 
Acesta poate fi un ajutor de nepretuit pentru toţi cei care doresc sa se infiltreze in 
sistemele informatice. 

C Integrati întreţinerea dicționarului de date cu procedurile de control al schimbării pentru 
a se asigura că acesta reflectă structura actuală a datelor deţinute de sistemele 
informatice. 

Pastrati copii în locaţii aflate la distanţă. 
Mentineti un registru al copiilor documentelor care sunt derivate din dicţionarul de date 
şi trataţi extrasele sensibile in mod similar cu fişierele înregistrate. 


Mediu 
Aer condiţionat 


T Calculatoarele mari si perifericele lor au adesea cele mai exigente cerinte de mediu. 
Lipsa asigurării condiţiilor de mediu specificate de producător poate duce la 
indisponibilizarea calculatoarelor şi la dispute legate de întreţinere. 

C Configurarea un program de întreţinere periodică a echipamentelor esenţiale de aer 
condiţionat. 

Luaţi în considerare necesitatea echipamentelor de aer condiţionat de rezervă, pentru 
cazul în care activele cheie ar putea fi afectate devenind indisponibile. 


Putere electrică 


T Sisteme informatice pot fi afectate negativ de reducerea sau cresterea tensiunii sau a 
frecventei surselor de alimentare. 
C Toate calculatoarele trebuie să fie protejate prin prevenirea excesului de putere. 


Activele cheie ar trebui să fie protejate prin surse neîntreruptibile. 


Apă 

T Unele calculatoare mari necesită răcire cu apă. Întreruperea alimentării cu apă poate 
duce la deteriorarea gravă a calculatorului. 

C Asiguraţi-vă că alimentarea continuarea cu apă se află sub controlul personalului de 


exploatare şi nu al personalului de întreţinere a clădirii. Personalul de întreţinere nu 
trebuie să comute din neatentie oprirea livrărilor de apa rece, în timpul perioadelor de 
vacanţă / în afara orelor de program. Luaţi în considerare livrările de rezervă de apă 
rece sau oprirea automată a calculatoarelor dependente în cazul întreruperii furnizării. 
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Iluminat 


T Întunericul poate perturba grav planurile pentru situaţiile de urgență. 

C Luaţi în considerare necesitatea unor surse de iluminat de rezervă. 

Deşeuri 

Hârtie 

T Sistemele informatice produc de multe ori cantitati substantiale de deseuri de hartie. 
Acestea pot fi o sursă de scurgere a informaţiilor din organizaţie. 

C Toate ieşirile pe hârtie trebuie să fie marcate în condiţii de securitate, după caz. Luaţi 


în considerare maruntirea materialelor de sensibilitate deosebită. Sacii cu "deşeuri 
confidentiale" ar trebui să fie utilizaţi pentru materialul depozitat în vederea incinerarii. 
Securitatea deşeurilor este adesea trecută cu vederea. Un sac de deşeuri care conţine 
materiale care au fost puse într-un dosar înregistrat trebuie să fie supus aceluiaşi nivel 
de securitate care ar fi fost aplicat dosarului. 


Suporturi magnetice 


T Suporturile magnetice pastreaza fragmente ale fisierelor care au fost copiate chiar si 
dupa ce fisierele au fost sterse. 
C Deseurile de suporturi magnetice ar trebui să fie şterse în condiţii de securitate, 


demagnetizate sau distruse. 
Medii optice 


T Mediile optice nu pot fi sterse, de obicei, definitiv. 
C Incinerarea este cel mai bun mod de a distruge deseurile dispozitivelor optice de 
stocare. 


Papetarie 


T Deseurile papetariei continand informatii financiare pot fi utilizate ilicit. 

C Documentele financiare pe hârtie învechite ar trebui să fie în mod oficial anulate şi 
eliminate ca deşeuri confidentiale. 
Asiguraţi-vă ca înregistrările contabile tin seama de eliminarea papetăriei pre- 
numerotate. 
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ANEXA | - Câteva definiţii 


Clasificarea informaţiilor 


Informaţii nedesemnate: informaţiile nedesemnate sau neclasificate în nici un mod, în 
cazul în care garanţiile privind practicile normale unui bun management sunt suficiente. 
Informaţii care sunt disponibile publicului. De exemplu: raportarea timpului, 
programarea personalului, manuale şi publicaţii, administrarea generală, capitole 
lansate, poziţii lansate, avize eliberate etc. 


Informaţii desemnate: informaţii, alte decât cele referitoare la interesul naţional, care 
sunt desemnate ca având nevoie de protecţie. 


Informaţiile clasificate: informaţii referitoare la interesul naţional. 


Sistem informatic / Aplicaţie 


"Aplicația aferentă unui software specific care este destinată desfăşurării unor lucrări specifice. 
Orice set de paşi urmat de desfăşurarea unor activităţi financiare, administrative sau privind 
programul." De exemplu, un sistem de conturi pentru plăţi. 


Într-un mediu cu microcalculatoare, aplicaţiile pot fi foarte simple, cum ar fi un raport în 
WordPerfect - tastare, stabilirea formatului şi activităţi de tipărire sau complexe, un program de 
audit asistat de calculator (CAAT) - încărcarea datelor clientului, extragerea eşantioanelor, 
analiza rezultatelor şi mostre de imprimare a eşantioanelor sau a rezultatelor. 


Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui să fie 
confundat cu aplicaţiile software-ului eşantionarea în audit. 

Numele unei aplicaţii este de obicei o combinatie a software-ului utilizat şi a aplicaţiei 
dezvoltate, cum ar fi: CAAT pentru audit, analiza financiară Lotus etc. 


În scopul evaluării securităţii, aplicaţii similare pot fi grupate împreună. 
Controlul accesului „logic" şi răspundere, ca parte a unui sistem de securitate 


Controlul accesului ,,logic”, folosind ID-urile şi parolele, impune accesul limitat la date pe 
baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care 
determină ceea ce utilizatorul poate accesa şi poate face, menţinând răspunderea prin crearea 
unei piste de audit care înregistrează utilizarea calculatorului de către utilizator. 


Controlul accesului, ca orice alt control, nu este considerat eficace şi fiabil, cu excepţia cazului 
în care poate fi demonstrat că acesta funcţionează în concordanţă cu scopul pentru care a fost 
implementat şi poate fi monitorizat. O pistă de audit serveşte ca dovadă că măsurile de control 
al accesului lucrează aşa cum s-a intenţionat şi oferă mijloacele de a investiga neregulile şi de 
a identifica domeniile în care controalele ar putea fi îmbunătăţite. Într-un sistem de securitate 
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informatică, pista de audit este un fişier istoric creat şi protejat de sistemul auditat prin 
controale bazate pe parolă şi criptare. Utilizarea unei piste de audit este transparentă pentru 
utilizator. În cadrul multor sisteme de securitate, administratorul de securitate are acces la 
fişierele istorice conţinând pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces 
în citire numai la fişierul propriu conţinând pista de audit. 


Necesitatea de a cunoaşte principiul 


Un principiu fundamental al politicii de securitate este de a restricționa accesul la date si la 
active celor care au nevoie de un astfel de acces, ceea ce presupune definirea specificaţiilor de 
partajare a datelor şi activelor. Într-un mediu informatizat, aceasta implică controlul accesului 
fizic şi / sau logic (sistem de securitate) la date şi active. De exemplu, într-un birou de audit, 
utilizatorii protejează clientul, informaţiile administrative şi de audit pentru a preveni accesul 
accidental la citire, modificare sau ştergere a informaţiilor. 


Sensibilitatea informaţiilor: 


Disponibilitate: calitatea sau starea informaţiilor, serviciilor, sistemelor şi programelor 
de a fi disponibile în timp util ("la nivelul organizaţiei”). 


Confidentialitate: calitatea sau condiţia de a fi sensibile ("se poate provoca un 
prejudiciu în cazul in care informaţiile sunt divulgate"). 


Integritate: calitatea sau condiţia de a fi corecte şi complete ("se poate provoca un 
prejudiciu în cazul în care informaţia este alterată, incorectă sau incompletă") 


Evaluarea expunerii securităţii 


O evaluare a expunerii securităţii este rezultatul combinării unui studiu de impact asupra 
afacerii cu riscul unei ameninţări / evaluarea probabilității. O evaluare a expunerii securităţii 
este clasificată ca: 


Major: impact considerabil, extrem - probabilitate rezonabilă. Acele evenimente care 
au probabilitate suficientă de apariţie şi un impact puternic asupra afacerii astfel încât 
este prudent să se ia măsuri preventive şi de recuperare. Aşteptarea privind daunele 
este suficient de mare încât nu este cazul să se insiste pe previziuni precise de 
probabilitate. 


Mediu: impact semnificativ - probabilitate necunoscută. Impactul asupra afacerii este 
de aşa natură încât ar trebui luate măsuri. Este necesară o trecere în revistă a 
amenințărilor şi a probabilității acestora, pentru a reduce amenințările la un nivel uşor 
de gestionat. 


Min (Scăzut): impact redus - orice probabilitate. Categoria „şi ce dacă”. Dacă se 
întâmplă, nu va costă atât de mult. Dacă va simtiti confortabil că potenţialul pentru 
prejudiciu este scăzut, acestea sunt ameninţări pe care le aceptati. Nu este nevoie sa 
se efectueze analize de probabilitate detaliate. 


67 


Infrastructura de securitate 


De obicei, în multe organizaţii guvernamentale, sub titluri similare sau diferite, administrarea 
securităţii este delegată în felul următor: 


Ofiţer de securitate şef: un manager executiv care are responsabilitatea generală 
pentru securitate în cadrul organizaţiei. El menţine legătură cu toate celelalte entităţi 
guvernamentale şi este pe deplin răspunzător pentru toate chestiunile de securitate din 
cadrul organizaţiei sale. 


Director de securitate: unul dintre manageri cu autoritate delegată de director de 
securitate, care are responsabilitatea administrării tuturor chestiunilor de securitate 
zilnice, din cadrul organizaţiei. 


Persoana responsabilă de securitatea informatică: un manager principal, cu 
autoritate delegată de la ofițerul de securitate şef şi de raportare către directorul de 
securitate, care are responsabilitatea zilnică pentru administrarea securităţii tehnologiei 
informaţiei în cadrul organizaţiei. 


Echipa de securitate: O echipă formată din persoane fizice construită, dacă este 
posibil, ca o secţiune transversală a organizaţiei. Echipa are nevoie de sprijinul deplin 
şi angajamentul conducerii superioare să efectueze examinarea securităţii şi să obţină 
acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul 
utilizatorilor să fie un membru influent al comunităţii utilizatorilor şi să fie liderul echipei. 
Este mult mai probabil ca utilizatorii şi conducerea superioară să accepte 
recomandările privind securitate de la echipă, întrucât aceştia sunt de obicei suspicioşi 
în ceea ce priveşte rapoartele elaborate de "specialişti tehnici”. 


O politică de securitate a companiei, aprobată de conducere, este pusă în aplicare pentru a 
sprijini strategia sistemului informatic care, în sine, se bazează pe misiunea şi obiectivele 
identificate în declaraţia de politică a corporației. 


De obicei, de asemenea, un Comitet director pentru sisteme informatice, prezidat de un 
director executiv, joacă un rol important în a se asigura că toate sistemele informatice din 
cadrul organizaţiei sunt elaborate şi utilizate în conformitate cu obiectivele şi strategiile 
corporative. Comitetul director pentru sisteme informatice supraveghează implementarea 
politicii privind sistemele informatice şi a politicii de securitate. 


Principii de management al securităţii 


1. 


Protecţia securităţii trebuie să fie în concordanță cu sensibilitatea datelor care trebuie 
protejate; 


Protecţia securităţii ar trebui să însoţească datele ori de câte ori acesta sunt 
transferate sau prelucrate; şi 


Protecţia securităţii trebuie să fie continuă, în toate situaţiile. 
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Aceste principii sunt implementate prin determinarea sensibilităţii datelor din punctul de vedere 
al integrităţii, confidentialitatii şi disponibilitatii şi prin aplicarea unor elemente specifice unei 
scheme de securitate, care include persoane, dispozitive fizice, practici şi proceduri, hardware, 
software, aplicaţii, şi elemente de protecţie de tip back-up. 
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Metodologie de revizuire a securităţii sistemelor informatice 


Ghid pentru revizuirea securităţii sistemelor 
informatice în organizaţiile guvernamentale 


Volumul 3: O metodă detaliată de 


securitate a sistemului informatic 
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3.1 


3.1.4 


3.1.6 


Prezentare 


Obiectivul unui program de securitate a sistemului informatic este de a reduce riscul de 
pierdere a confidentialitatii, integrităţii şi disponibilitatii informaţiilor la un nivel 
acceptabil. 


Scopul unei metode de securitate a sistemului informatic este de a facilita stabilirea 
unui program de securitate cuprinzător şi eficient, care să acopere toate sistemele 
informatice cheie. Metoda ar trebui să ajute utilizatorii să stabilească un nivel de 
securitate proporţional cu cerinţele lor. 

Găsirea unui nivel adecvat de securitate implică analiza de risc şi managementul 
riscurilor'?. 


Analiza de risc este utilizată pentru a stabili gradul în care sistemele informatice sunt 
expuse la riscuri. Aceasta presupune examinarea amenințărilor cu care se confruntă 
sistemele informatice, estimarea frecvenţei cu care acestea sunt de aşteptat să apară 
şi apoi evaluarea impactului pe care organizaţia l-ar suferi dacă amenințările ar apărea. 
"Expunerea" este calculată prin combinarea evaluării a impactului şi a frecvenţei 
estimate a amenințării. 


Managementul riscului implică alegerea celei mai ieftine contramăsuri care reduce 
expunerea organizaţiei la risc la un nivel acceptabil. Contramăsurile sunt măsurile luate 
de către organizaţie pentru a reduce frecvenţa unei ameninţări sau pentru a reduce 
impactul amenințărilor atunci când apar. 


Evaluarea este cheia pentru stabilirea unui nivel corespunzător de securitate, iar 
utilizatorii sunt esentiali pentru evaluare. Rezultă că grupurile de utilizatori trebuie să fie 
stabilite într-un stadiu incipient. Fiecare sistem poate fi evaluat făcând referire la 
utilizatorii săi. Un sistem cu nici un utilizator sau unul în care utilizatorii nu acordă nici o 
valoare informaţiilor primite, nu are nici o valoare şi nu merită să fie menţinut, cu atât 
mai puţin securizat. 


În cazul în care sistemele nu se confruntă cu amenințări, atunci nu sunt necesare 
măsuri de securitate. Metoda ar trebui să ajute la identificarea amenințărilor la adresa 


i, Adaptat după o metodologie elaborată de Oficiul Naţional de Audit, Marea Britanie, acest document are ca scop numai de a 
oferi o descriere generală a unei metode cantitative detaliate de analiză a riscurilor care este utilizată în diverse moduri de cele 
mai multe pachete de analiză de risc comerciale. Este recomandată folosirea unui pachet software împreună cu această 
metodă de analiză detaliată a riscului. 
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3.2 


3.2.1 


3.2.2 


3.2.3 


confidentialitatii, integrității sau disponibilităţii sistemelor informatice. Acest lucru 
implică identificarea tuturor componentelor care trebuie să fie în funcțiune, în cazul în 
care utilizatorii trebuie să continue să primească un serviciu de încredere şi apoi caută 
evenimentele care ar putea afecta în mod negativ fiecare componentă. Aceasta 
implică, de asemenea, identificarea modalitatilor de scurgere a informaţiilor din fiecare 
componentă a sistemului informatic. 


Odată ce valoarea unui sistem şi amenințările cu care acesta se confruntă au fost 
stabilite poate fi formulată o cerinţă de securitate. Aceasta va lua forma unei liste de 
măsuri care sunt necesare pentru a reduce riscurile cu care se confruntă utilizatorii, la 
un nivel acceptabil. Punerea în aplicare a acestor măsuri şi menţinerea lor este sarcina 
personalului care alcătuieşte infrastructura de securitate. 


(ep) 


tadiile unei metode de securitate a sistemului informatic sunt: 

Stabilirea unei politici de securitate 

Construirea infrastructurii de securitate 

Identificarea sistemelor informatice 

Identificarea amenințărilor / punctelor slabe 

Evaluarea sistemelor 

Evaluarea cerinţelor de securitate pentru fiecare sistem informatic 
Implementarea şi menţinerea unui program de securitate şi a unor proceduri 
coerente cu politica de securitate 


— ===> 
NOON WDM — 
YS wer we wr SES we 


Infrastructura 


Politica de securitate ar trebui sa reflecte strategia legata de sistemul informatic, care 
ar trebui sa se bazeze pe misiunea si obiectivele identificate in declaratia de politica 
corporativa. Nu este oportun sa se inceapa proiectarea unei strategii de securitate a 
sistem informatic inaintea strategiei corporative sau a celei a sistemelor informatice. 
Consiliul de conducere ar trebui să elaboreze o politica de securitate. Politica ar trebui 
să fie aprobată de către şeful organizaţiei. Un ofiţer de securitate (CIO) ar trebui să fie 
numit pentru a supraveghea implementarea politicii de securitate. 


Dacă aveţi, sau planificati a avea, sisteme informatice extinse ar trebui să se înfiinţeze 
un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere 
ar trebui să prezideze acest comitet. Rolul comitetului director pentru sisteme 
informatice este de a asigura că strategia sistemului informatic se dezvoltă în 
conformitate cu obiectivele corporative şi faptul că strategia de securitate trebuie 
menţinută actualizată. Ar trebui sa fie desemnat un ofițer de securitate al sistemului 
informatic şi să se ia în considerare instituirea unui Grup de securitate a sistemului 
informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de 
securitate este de a acţiona ca un punct central pentru activitatea de dezvoltare a 
sistemului de securitate. 


Declaraţia privind politica de securitate ar trebui să ofere un cadru pentru programele 
de securitate cu care se confruntă fiecare sistem informatic important. 
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Organizațiile mari produc adesea linii directoare de securitate, care stabilesc în detaliu 
standardele de securitate. Liniile directoare sunt menite să ajute personalul să traducă 
cerinţele politicii de securitate într-un program de securitate pentru sistemele proprii. 


Procedurile de operare pentru securitate (POS) iau forma unor manuale care oferă 
detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS 
sunt deosebit de importante, întrucât multe măsuri de securitate sunt ineficiente, cu 
excepţia cazului în care personalul înţelege şi respectă procedurile suport. 


Instruirea personalului şi programele de conştientizare sunt o parte esenţială a 
infrastructurii de securitate. Organizaţia ar trebui să includă instruiri pentru 
conştientizarea în domeniul securităţii, ca parte a iniţierii personalului, şi continuarea 
acestora cu cursuri de perfecţionare la intervale regulate. Folosirea de afişe, broşuri şi 
manuale poate consolida în continuare principalele elemente ale programului de 
securitate. 


Limite 


Prima etapă în orice revizuire de securitate a sistemului informatic este de a stabili 
limitele sistemului supus revizuirii. Acest lucru poate fi realizat prin identificarea unei 
comunităţi de utilizatori. 


În cazul în care există o interacţiune redusă între sistemele informatice, este destul de 
uşor ca utilizatorii iesirilor din sistem să poată fi identificaţi. In sistemele puternic 
integrate trebuie agreată o graniţă artificială, în scopul menţinerii revizuirii la o scară 
rezonabilă. 


Este important să se obţină angajamentul managementului de vârf pentru revizuire şi, 
în special, pentru a se asigura că acesta este de acord cu limitele propuse. 


În mod ideal, ar trebui să se înceapă cu un model complet al informaţiei din organizaţie 
pe baza căruia să aibă loc revizuirea. Acest model ar trebui să prezinte fluxul de 
informaţii atât în cadrul organizaţiei cât şi între organizaţie şi cei din afară. Acest model 
poate acţiona ca bază pentru un program de securitate a sistemului informatic, care va 
acoperi toate sistemele cheie atunci când se va finaliza. 


Echipa 


Prima manifestare a angajamentului conducerii superioare privind sistemul de 
securitate a informaţiilor ar trebui să fie instituirea unui Grup de securitate a sistemului 
informatic. Grupul de securitate trebuie să fie responsabil pentru implementarea politicii 
de securitate stabilite de către conducere şi pentru identificarea modificărilor necesare, 
în contextul evoluţiei sistemelor informatice ale organizaţiei sau amenințărilor cu care 
se confruntă. 
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În cazul în care constatările unei revizuiri trebuie să fie acceptate în întreaga 
organizaţie, este important să se asigure că echipa de securitate este construită, pe 
cât posibil, ca o secţiune extinsă, transversală a organizaţiei. Acest lucru este deosebit 
de important dacă efectuaţi revizuirea din poziţia unui consultant extern. 


Echipa de audit intern ar trebui să aibă o înțelegere profundă asupra sistemelor 
informatice din cadrul organizaţiei şi va avea un rol important în garantarea faptului că 
recomandările de securitate sunt implementate în mod eficient. Echipa de securitate 
poate fi capabilă să folosească dosarele de lucru de audit intern pentru a înţelege 
sistemele informatice din cadrul organizaţiei, dar este puţin probabil că membrii 
structurii de audit intern vor dori să joace un rol activ întrucât acest lucru ar compromite 
independenţa lor în etapa de revizuire. 


Utilizatorii unui sistem informatic au un rol cheie în explicarea modului în care sistemul 
funcţionează şi în valorificarea informaţiilor obţinute de la acesta. 

Cooperarea utilizatorilor este esenţială pentru ca programul de securitate a informaţiilor 
să fie implementat cu succes. Este mult mai probabil ca utilizatorii să accepte 
recomandările privind securitatea, în cazul în care un membru influent al comunităţii 
utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori, 
un şef de echipă bun, pentru a da asigurări atât conducerii, cât şi utilizatorilor care sunt 
adesea profund suspicioşi faţă de rapoartele elaborate de "specialişti tehnici”. 


În cazul în care sistemul informatic este puternic, atunci ar trebui să fie inclus în echipă 
un analist de sistem, pentru a ajuta la explicarea modului în care funcţionează sistemul 
informatic şi pentru a consilia cu privire la o metodă clară şi consecventă de 
documentare a fluxurilor de informaţii. 


Specialiştii în securitatea calculatoarelor nu pot fi solicitati în cazul in care sistemul 
este simplu, dar pentru sisteme informatice complexe va fi nevoie de ajutorul lor, atât 
în evaluarea amenințărilor la adresa sistemului, cât şi în formularea contramăsurilor. 


Amenintari / Vulnerabilitati 


Prima etapa in evaluarea amenintarilor cu care se confrunta un sistem este de a stabili 
lanţul de active care sunt implicate în furnizarea informaţiilor, pentru fiecare utilizator 
major. Amintiti-va obiectivele de securitate a informaţiilor (de confidentialitate, 
integritate si disponibilitate) si ganditi-va la toate punctele din sistem in care oricare 
dintre aceste obiective ar putea fi compromise. 

Lista activelor va fi mai lungă pentru o aplicaţie în reţea decât pentru un calculator 
neconectat. Un procesor de texte funcţional pe un calculator neconectat va fi vulnerabil 
prin ecran, imprimantă, tastatură şi prin orice dispozitiv de stocare, cum ar fi floppy 
discuri, benzi sau hârtie. Un sistem în reţea ar putea fi vulnerabil în multe alte puncte, 
inclusiv terminale, imprimante, echipamente de telecomunicaţii legate la reţea, cablajul 
reţelei, discurile centrale şi locale. 


Creati un formular pentru fiecare activ sau grup de active pe care le identificaţi şi apoi 
intocmiti o listă a tuturor evenimentelor care ar putea compromite integritatea, 
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disponibilitatea sau confidentialitatea sistemelor informatice care sunt conectate la 
activ. Pentru fiecare eveniment va trebui să faceţi o estimare a probabilității 
evenimentului care ar putea avea loc. Acest lucru poate fi foarte dificil, dacă nu au 
existat evenimente in istoria sistemelor informatice ale organizaţiei. Statistici 
actuariale'2 din companiile de asigurări vă pot ajuta să faceţi o estimare realistă a 
frecvenţei evenimentelor neobişnuite. Indiferent de abordarea adoptată, va exista un 
element de incertitudine. Înregistrările din experiența trecută se referă numai la 
evenimentele detectate, privind securitatea sistemului; securitatea sistemului ar fi putut 
fi compromisă, fără a fi fost detectate evenimente. În plus, nu există nici o garanţie că 
evenimentele vor avea loc cu aceeaşi frecvenţă pe care au avut-o în trecut. 


Raționamentul privind frecvenţa preconizată a evenimentelor care ar putea compromite 
securitatea sistemelor informatice joacă un rol important în justificarea costurilor 
măsurilor necesare pentru a proteja sistemul. Dacă nu obţineţi angajamentul 
conducerii superioare privind strategia pe care o adoptați pentru evaluarea frecvenţei 
evenimentelor, este puţin probabil să obţineţi angajamentul acesteia cu privire la 
recomandările formulate. 


Dacă există deja măsuri puse în aplicare pentru a reduce probabilitatea ca sistemul 
informatic să fie compromis, ar trebui să luaţi notă de ele şi să faceţi o evaluare a 
costurilor anuale de menţinere a acestora, precum şi a efectelor pe care consideraţi că 
le vor avea asupra frecvenţei evenimentelor care ar putea afecta în mod negativ 
sistemele informatice. Aceste informaţii pot fi folosite mai târziu pentru a decide dacă 
măsurile existente ar trebui înlocuite cu altele mai eficiente. 


Evaluare 


Analiza amenințărilor şi vulnerabilităţilor sistemului se finalizează cu o lista de 
evenimente care ar putea afecta negativ sistemul informatic. Ar fi trebuit să conveniti o 
frecvenţă aşteptată pentru fiecare eveniment. Următoarea etapă este discutarea 
impactul fiecărui eveniment cu utilizatorii. 


Valorile pe care utilizatorii le identifică pentru impactul fiecărei amenințări vor fi utilizate 
ca parte a justificării costurilor măsurilor de securitate. Este important ca efectele sa 
poată fi exprimate în termeni financiari şi să fie evaluate pe o bază consistentă. Multe 
efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact 
financiar direct. În aceste cazuri este necesar să se construiască scale care pot fi 
folosite pentru a traduce impactul non-financiar în termeni financiari. 


Distributiile pe o scală cheie a pierderilor financiare ar putea arăta ca mai jos: 


12 Referitoare la prime de asigurări, dividende şi riscuri 
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Pierdere“ Puncte 


£10m+ 
£4m-£10m 
£2m-£4m 
£1m-£2m 
£500,000-£1m 
£250,000-£500,000 
£100,000-£250,000 
£50,000-£100,000 
£10,000-£50,000 
£1,000-£10,000 
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3.6.4 O alta scala aplicabila s-ar putea referi la siguranta personala: 


Rezultat Puncte 


Pierderi de mai mult de 100 de vieti 

Pierderi de mai mult de 50 de vieti 

Pierderi de mai mult de 25 de vieti 

Pierderi de mai mult de 10 vieti 

Pierderi de mai mult de 5 vieti 

Pierderi intre 1-5 vieti 

Pierderea unei vieti 

Pierderea vederii sau a mai mult de 2 membre 
Pierderea unui membru sau a auzului 
Prejudicii minore 


3.6.5 


3.6.6 
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Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi: 
raspunderea juridica, disconfort politic si intreruperi organizationale. Scalele pe care le 
construiti ar trebui sa fie in concordanta unele cu altele si ar trebui sa le acopere pe 
toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor 
informatice ale organizaţiei. 


După ce scalele au fost convenite cu managementul de vârf, puteţi trece la 
intervievarea utilizatorilor sistemelor informatice. Ar trebui sa le cereti să ia în 
considerare impactul fiecăruia dintre evenimentele identificate în timpul analizei 
amenințărilor / vulnerabilitatilor. Ei pot fi capabili să identifice impactul pentru mai multe 
scale. Fiţi atenţi pentru a evita dublarea calculului. 

Dacă distrugerea de informaţii ar putea duce la pierderea unei vieţi şi acest lucru ar 
putea conduce la un caz în instanţă cu daune de 100.000 £ care trebuie acordate, dar 


13 7 . . wy 7 m . i x . x n x 
In acest document, simbolul lira sterlină poate fi substituit cu orice unitate monetară naţională. Domeniile de scară se pot 
adapta la moneda fiecărei tari iar nivelele de semnificaţie pot fi convenite. 


14 mai mult de 10 milioane 
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numai 5.000 £ alte cheltuieli, atunci ar trebui să înscrieţi 4 pe scara de siguranţă 
personală, care ar fi echivalată cu o valoare de 175,000 £ pe scara pierderilor 
financiare. Adăugarea de alte cheltuieli de 5000 £ la aceste valori, va conduce la o 
pierdere totală, în termeni financiari de 180,000 £, echivalentă cu un scor total de 4 pe 
scara pierderilor financiare. 


Când aţi intervievat utilizatorili cheie ai sistemului, aţi avut o serie de scoruri. Scorurile 
ar putea avea nevoie să fie ajustate de către managementul de vârf, în cazul în care 
impacturile identificate de către utilizatori sunt considerate nerezonabile. Scorul pentru 
un eveniment poate fi apoi stabilit prin compilarea unei liste a tuturor impacturilor 
identificate de către utilizatori pentru fiecare eveniment. 


Cerinta de securitate 


Cerinta de securitate este o declaraţie care exprimă cat de mare este valoarea 
cheltuielilor pentru protecţia fiecărui activ în sistem. Acest lucru este derivat din 
evaluarea si frecvenţa evaluărilor pentru fiecare eveniment advers. Evaluarile 
utilizatorului ar trebui să fie transformate în valori financiare, prin utilizarea punctului de 
median al scalei financiare. Frecventele ar trebui să fie exprimate în termenii numărului 
de ori în care evenimentul este de aşteptat să apară în fiecare an. Acesta va fi mai mic 
decât unu, în cazul în care un eveniment este rar. Colectati toate efectele identificate 
de către utilizatori pentru fiecare eveniment şi excludeti dublurile. Dacă adăugaţi apoi 
valorile financiare ale impacturilor şi inmultiti cu frecvenţa evenimentului veţi obţine 
aşteptarea privind pierderile anuale (APA), pentru un eveniment particular, care 
afectează un activ particular. 


Calculul APA trebuie să fie repetat pentru fiecare eveniment care ar putea afecta 
negativ, în mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele 
informatice în curs de revizuire. Atunci când acest proces a fost finalizat, activele pot fi 
sortate după APA. Lista sortată ar trebui să constituie baza pentru un plan de acţiune 
pentru dezvoltarea programului de securitate. 


Contramăsuri 


Cerinta de securitate va evidenția activele care reprezintă un risc semnificativ pentru 
confidentialitatea, integritatea sau disponibilitatea sistemelor informatice în curs de 
revizuire. Contramăsurile sunt măsurile luate pentru a reduce frecvenţa amenințărilor 
asupra activelor sistemului informatic sau a impactului, atunci când apar amenințări. 


Ar trebui să incepeti prin instalarea contramăsurilor pentru a proteja activele cu cea 
mai mare APA. Luaţi în considerare măsurile care ar putea fi aplicate pentru a reduce 
frecvenţa sau impactul evenimentelor cu potenţial de a avea cel mai mare impact. 
Detectati costurile acestora, inclusiv cele cu formarea, întreţinerea şi perturbațiile pe 
care le-ar putea cauza. După ce ati evaluat măsurile care pot fi introduse, evaluati 
reducerea APA care ar fi de aşteptat să fie atinsă. 
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O singură contramăsură, cum ar fi introducerea unui agent de pază la intrarea în 
locație, poate reduce APA asociată cu multe evenimente care ar afecta un număr mare 
de active. Va trebui să vă asiguraţi că toate beneficiile asociate măsurii sunt reflectate 
în cazul introducerii fiecărei măsuri. Pentru fiecare contramăsură păstraţi o listă a 
impactului evenimentelor/activelor ale căror APA sunt afectate şi amploarea 
schimbărilor preconizate. 


Odată ce ati identificat contramăsurile care ar reduce cel mai mare APA la nivelul 
următorului APA, ar trebui să comutati atenţia la următorul eveniment / activ din listă. 


De fiecare dată când selectaţi o contramăsură, va trebui să adaptati indicatorii APA la 
orice alte evenimente / active, care sunt afectate de contramăsură. Pe măsură ce vă 
deplasati in jos în listă, valorile APA rămase vor fi tot mai mici. Ar trebui să vă opriţi 
atunci când APA rămase sunt sub pragul pe care credeţi că îl va accepta 
managementul. 


Recomandările pentru management ar trebui să evidentieze acele contramăsuri care 
dau cea mai mare reducere APA la cel mai mic cost. Managementul poate decide să 
accepte riscul oricărui eveniment care afectează orice activ din sistemul informatic, dar 
ar trebui să facă acest lucru în mod explicit, prin prisma analizei APA, astfel încât să fie 
conştient de amploarea riscurilor pe care le acceptă. Dacă managementul decide să 
nu implementati o contramasura, atunci va trebui sa reajustati lista APA, utilizând lista 
de impact pentru contramăsură. 


Administrarea securităţii 


Odată ce o listă de măsuri de contracarare a fost agreată, acestea vor trebui să fie 
transferate în programele de securitate şi procedurile de securitate operaţionale. 
Grupul de securitate a sistemului informatic ar trebui să fie responsabil pentru 
implementarea contramăsurilor selectate. 


Auditul intern ar trebui să revizuiască documentele de lucru privind evaluarea şi 
gestionarea riscurilor şi să monitorizeze implementarea şi eficacitatea contramăsurilor 
selectate. 


Programul şi procedurile de securitate vor trebui să fie actualizate pentru a ţine seama 
de schimbările intervenite în mediul de securitate şi al sistemelor informatice. Grupul 
de securitate a sistemului informatic ar trebui să se informeze cu privire la evoluţiile din 
domeniul securităţii sistemul informatic şi să fie informat cu privire la toate evoluţiile 
semnificative în sistemele informatice ale organizaţiei. Acesta ar trebui să monitorizeze 
în permanenţă necesitatea actualizării programului de securitate. 
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Glosar succint 


Terminologie referitoare la riscul privind securitatea'5 


e  Contramăsură (C): Un control care este conceput pentru a spori securitatea sau 
pentru reducerea amenințării, reducerea impactului, detectarea unei breşe de 
securitate sau recuperarea după un incident de securitate. 


Sinonime: măsură de protecţie, măsură de securitate. 

e Impact: Efectul advers sau consecinţa unei ameninţări care apare. 

e Probabilitate: probabilitatea unei ameninţări particulare care apare. 

e  Risc/Expunere: O măsură a probabilității şi a magnitudinii impactului unei ameninţări 
particulare asupra unui sistem informatic. Este o funcţie care depinde de o ameninţare 
care apare şi posibila pierdere care ar putea rezulta. 

e Evaluarea riscurilor: un proces formal pentru a evalua şansa de a exploata 
vulnerabilitatile, bazată pe eficacitatea unor protectii de securitate existente sau 
propuse. 

e Amenintare (T): Orice eveniment sau act potential nedorit şi care poate avea un 
impact asupra unui sistem informatic, cum ar fi un incendiu, catastrofe naturale, acces 


neautorizat etc. 


e Vulnerabilitatea: O măsură a probabilității ca un activ să fie distrus sau să fie atacat 
de o ameninţare deosebită. 


15 Terminologia referitoare la riscul privind securitatea poate varia foarte mult în funcţie de diferite şcoli de gândire. În mod 
similar, în funcţie de metodologia utilizată, impactul şi vulnerabilitatile pot fi evaluate în prezenţa unor protectii existente sau în 
absența oricăror protectii. 
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